周四凌晨,一名黑客发现了 Resupply 去中心化金融 (DeFi) 协议中的一个漏洞,该漏洞导致他们成功窃取了近 960 万美元的数字资产。据报道,攻击者利用智能合约漏洞成功操纵了代币价格,实施了这起大规模数字资产盗窃行为。随着DeFi市场的不断发展,安全性仍然是一个重要的问题,需要协议方及用户共同关注和加强保护措施。
据区块链安全分析师称,此次攻击的主要目标是与 Convex Finance 和 Yearn Finance 集成的 DeFi 稳定币平台 Resupply。攻击者对与 Convex 挂钩的代币 cvcrvUSD 进行了精心设计的价格操纵,以欺骗系统,并使用几乎毫无价值的抵押品获得贷款。
智能合约漏洞导致汇率为零
此次漏洞的主要发现是周四部署在以太坊地址的 ResupplyPair 合约“0x6e…6bd6″合约使用 cvcrvUSD 的价格来计算抵押贷款的内部汇率。
又一个通过操纵低流动性(甚至是空的)市场的汇率来利用的借贷协议!
具体来说,攻击者人为夸大了#cvcrvUSD的股价。@ResupplyFi的 ResupplyPair 合约(https://t.co/yo2N5lScHi(创建于约 2 小时前)使用...https://t.co/MelEYFLr98 pic.twitter.com/2qXC9IiREL
— BlockSec Phalcon (@Phalcon_xyz) 2025年6月26日
攻击者利用这种依赖关系,通过协调捐赠交易人为抬高 cvcrvUSD 代币的价格。当代币价值飙升时,ResupplyPair 合约中的价格输入也随之飙升。
然而,该协议代码存在缺陷,特别是使用下限除法,导致汇率在价格超过测量阈值后向下舍入为零。
在汇率被设置为零的情况下,攻击者仅使用 1 wei 的 cvcrvUSD 作为抵押,就借入了 Resupply 的原生稳定币 reUSD。该平台依赖于此汇率的破产检查被有效绕过。
“攻击者操纵代币价格,触发 Resupply 智能合约中的一个漏洞(零汇率),让他们几乎不费吹灰之力就借到了一大笔钱”区块链风险公司 Cyvers 的高级安全运营主管 Hakan Unal 解释道。
Tornado Cash 用于交易匿名
区块链活动显示,黑客最初通过 Tornado Cash(一种去中心化隐私协议混合器)向钱包注资,犯罪分子利用其隐藏资金来源。根据区块链安全公司 PeckShield 的分析,此次攻击的切入点是 Cow Swap 上的一笔涉及 2 ETH 的交易。
违规发生后,他们通过 Curve 和 Uniswap(均为去中心化交易所)将 reUSD 转换为稳定币和以太坊,从而清算了被盗资产。
960 万美元的收益被分散到两个不同的以太坊地址。攻击者使用 USDC 和包装以太坊 (wether)(wether ethereum,wETH)存储了最终收益。
当天晚些时候,Resupply 确认了此次漏洞,并承认该漏洞已影响其 wstUSR 市场。该平台立即暂停了所有合约,以防止进一步的损失。
“用户应避免使用 reUSD 保险库,并尽可能提取资金”Unal 建议使用该协议的投资者。
2025年与加密货币相关的黑客攻击将变得猖獗
Resupply 的泄密事件是一系列针对去中心化金融和中心化平台的高价值黑客攻击事件的又一例。区块链取证公司 Chainalysis 报告称,自 2025 年初以来,已有超过 23 亿美元的加密货币被盗,这一数字在年中就超过了去年的总额。
就在 Resupply 事件发生前几天,6 月 18 日,伊朗加密货币交易所 Nobitex遭受一次毁灭性的入侵。黑客窃取了多个区块链上超过 9000 万美元的数字资产,包括比特币、以太坊、狗狗币、瑞波币、Solana、波场币和 Ton 币。
此前的调查显示,Nobitex 上的钱包与伊斯兰革命卫队 (IRGC) 附属的行为者以及与也门胡塞叛军和哈马斯特工有关的网络有关。
以色列国家反恐融资局 (NBCTF) 已确认该平台是向多家受制裁实体提供资金的渠道。这些实体包括亲哈马斯的媒体机构 Gaza Now(据称是基地组织的宣传机构),以及受制裁的俄罗斯加密货币交易所 Garantex 和 Bitpapa。
KEY 差异线帮助加密货币品牌快速突破并占据头条新闻