Un hackerdentuna falla en el protocolo de finanzas descentralizadas (DeFi) Resupply la madrugada del jueves, lo que le permitió desviar casi 9,6 millones de dólares en activos digitales. Según se informa, el atacante manipuló los precios de los tokens mediante una vulnerabilidad en untracinteligente.
Según analistas de seguridad blockchain, Resupply, una plataforma de stablecoin DeFi integrada con Convex Finance y Yearn Finance, fue el principal objetivo del exploit. El atacante utilizó una elaborada táctica de manipulación de precios en cvcrvUSD, un token vinculado a Convex, para engañar al sistema y obtener un préstamo con una garantía prácticamente sin valor.
Un error en lostracinteligentes da como resultado un tipo de cambio cero
El punto principal de la brecha se encontró en el trac , implementado el jueves en la dirección Ethereum « 0x6e…6bd6» . El contrato trac el precio de cvcrvUSD para calcular un tipo de cambio interno para préstamos con garantía.
¡Otro protocolo de préstamo explotado a través de la manipulación del tipo de cambio en mercados de baja liquidez, e incluso vacíos!
En concreto, los atacantes inflaron artificialmente el precio de las acciones de #cvcrvUSD trac ResupplyPair de @ResupplyFi ( https://t.co/yo2N5lScHi , creado hace aproximadamente 2 h) utiliza… https://t.co/MelEYFLr98 pic.twitter.com/2qXC9IiREL
— BlockSec Phalcon (@Phalcon_xyz) 26 de junio de 2025
El atacante aprovechó esta dependencia inflando artificialmente el precio del token cvcrvUSD mediante transacciones de donación coordinadas. Cuando el valor del token se disparó, el precio introducido en el contrato ResupplyPair setrac.
Sin embargo, una falla en el código del protocolo, específicamente el uso de la división de piso, causó que el tipo de cambio se redondeara a cero una vez que el precio superaba un umbral medido.
Con el tipo de cambio establecido en cero, el atacante pudo tomar prestada una cantidad masiva de la stablecoin nativa de Resupply, reUSD, utilizando solo 1 wei de cvcrvUSD como garantía. Los controles de insolvencia de la plataforma, que dependen de este tipo de cambio, fueron eludidos eficazmente.
“ El atacante manipuló los precios de los tokens, lo que provocó un error (tipo de cambio cero) en el contrato inteligente de Resupply trac lo que les permitió tomar prestado un montón de dinero por casi nada ”, explicó Hakan Unal, líder senior de operaciones de seguridad en la firma de riesgo blockchain Cyvers.
Tornado Cash se utiliza para el anonimato de las transacciones
La actividad de blockchain muestra que el hacker financió inicialmente su billetera a través de Tornado Cash, un mezclador de protocolos de privacidad descentralizados que los delincuentes utilizan para ocultar el origen de los fondos. El punto de entrada del ataque fue una transacción en Cow Swap de 2 ETH, según un análisis de la firma de seguridad blockchain PeckShield.
Después de la violación, liquidaron los activos robados convirtiendo reUSD en stablecoins y Ethereum a través de Curve y Uniswap, ambos exchanges descentralizados.
Los 9,6 millones de dólares en ganancias se dividieron en dos direcciones Ethereum distintas. El atacante utilizó USDC y Wrapped Ethereum (wETH) para almacenar las ganancias finales.
Más tarde ese mismo día, Resupply confirmó la brecha y admitió que el exploit había afectado a su mercado wstUSR. La plataforma suspendió inmediatamente todos lostracpara evitar mayores daños.
“ Los usuarios deben evitar las bóvedas reUSD y retirar fondos si es posible ”, aconsejó Unal a los inversores que utilizan el protocolo.
La brecha de Resupply se suma a una serie de ataques de alto valor dirigidos tanto a las finanzas descentralizadas como a las plataformas centralizadas. La firma de análisis forense de blockchain, Chainalysis, informa que ya se han robado más de 2.300 millones de dólares en ataques a criptomonedas desde principios de 2025, una cifra que supera el total del año pasado a mediados de año.
dent de Resupply , el 18 de junio, la plataforma de intercambio de criptomonedas iraní Nobitex sufrió una brecha de seguridad devastadora. Los hackers se llevaron más de 90 millones de dólares en activos digitales de varias cadenas de bloques, como Bitcoin , Ethereum , Dogecoin , Ripple , Solana , Tron y Ton.
Investigaciones anteriores han vinculado billeteras en Nobitex a actores afiliados al Cuerpo de la Guardia Revolucionaria Islámica (CGRI) y redes vinculadas a rebeldes hutíes en Yemen y operativos de Hamas.
La Oficina Nacional para la Lucha contra el Financiamiento del Terrorismo (NBCTF) de Israel hadentla plataforma como canal de fondos para varias entidades sancionadas. Estas incluyen el medio de comunicación pro-Hamás Gaza Now, un supuesto brazo propagandístico de Al Qaeda, y las plataformas rusas de intercambio de criptomonedas Garantex y Bitpapa, también sancionadas.
