Согласно инцидентному отчёту Bonzo Lend, протокол потерял около $9,05 миллиона 11 июля после того, как злоумышленник использовал уязвимость в оракульном верификаторе третьей стороны Supra. Цена, обновление которой было подписано нулевой подписью, прошло валидацию, раздув цену SAUCE примерно на двенадцать порядков — с примерно 0,2 HBAR до значения, начинающегося с единицы и за которым следуют тридцать нулей. Используя это искусственно завышенное обеспечение, атакующий осушил lending pools протокола.
Вторая атака использовала ту же уязвимость, чтобы вывести около $1 миллиона, но затем идентифицировала себя как white-hat ответчик и обязалась вернуть средства. Hedera подтвердила, что инцидент был ограничен внешним oracle-слоем, тогда как Supra признала уязвимость и развернула исправление для своего контракта в Hedera mainnet. Общая заблокированная стоимость (TVL) Bonzo Lend упала примерно с $14,3 миллиона 10 июля до $3,2 миллиона к 12 июля.