Згідно з інцидентним звітом Bonzo Lend, протокол втратив приблизно 9,05 мільйона доларів 11 липня після того, як зловмисник скористався вразливістю в сторонньому оракульному верифікаторі Supra. Оновлення ціни, підписане нульовим підписом, пройшло валідацію, завищивши ціну SAUCE приблизно на дванадцять порядків величини — з близько 0,2 HBAR до значення, представленого числом із тридцятьма нулями. Використовуючи це штучно завищене забезпечення, атакувальник осушив пули лендінгу протоколу.
Друге гаманцець використало ту саму вразливість, щоб вивести близько 1 мільйона доларів, але згодом ідентифікувало себе як white-hat респондент і зобов’язалося повернути кошти. Hedera підтвердила, що інцидент був ізольований на рівні зовнішнього оракула, тоді як Supra визнала вразливість і розгорнула виправлення свого контракту в Hedera mainnet. Загальна заблокована вартість (TVL) Bonzo Lend впала з приблизно 14,3 мільйона доларів 10 липня до 3,2 мільйона доларів 12 липня.