Un pirate informatique adentune faille dans le protocole de finance décentralisée (DeFi) Resupply tôt jeudi matin, ce qui lui a permis de détourner près de 9,6 millions de dollars d'actifs numériques. L'attaquant aurait manipulé les prix des jetons grâce à une vulnérabilité destracintelligents.
D'après les analystes en sécurité blockchain, Resupply, une plateforme DeFi de stablecoins intégrée à Convex Finance et Yearn Finance, était la principale cible de l'attaque. L'attaquant a utilisé une technique de manipulation de prix élaborée sur le cvcrvUSD, un jeton lié à Convex, afin de tromper le système et d'obtenir un prêt en utilisant une garantie quasiment sans valeur.
Un bugtracun contrat intelligent entraîne un taux de change nul
Le point principal de la faille a été découvert dans le contrat ResupplyPair trac déployé jeudi à l'adresse Ethereum « 0x6e…6bd6 » . Ce contrat trac le prix du cvcrvUSD pour calculer un taux de change interne pour les prêts garantis.
Encore un protocole de prêt exploité via la manipulation des taux de change sur des marchés à faible liquidité, voire vides !
Plus précisément, des pirates ont artificiellement gonflé le cours de l'action #cvcrvUSD trac ResupplyPair de @ResupplyFi ( https://t.co/yo2N5lScHi , créé il y a environ 2 heures) utilise… https://t.co/MelEYFLr98 pic.twitter.com/2qXC9IiREL
— BlockSec Phalcon (@Phalcon_xyz) 26 juin 2025
L'attaquant a exploité cette vulnérabilité en gonflant artificiellement le prix du jeton cvcrvUSD grâce à des transactions de dons coordonnées. Lorsque la valeur du jeton a grimpé en flèche, le prix indiqué dans le contrat ResupplyPair a luitracexplosé.
Cependant, un défaut dans le code du protocole, plus précisément l'utilisation de la division par plancher, a entraîné un arrondi à zéro du taux de change une fois que le prix a dépassé un seuil mesuré.
Avec un taux de change fixé à zéro, l'attaquant a pu emprunter une quantité massive de reUSD, le stablecoin natif de Resupply, en utilisant seulement 1 wei de cvcrvUSD comme garantie. Les contrôles d'insolvabilité de la plateforme, qui reposent sur ce taux de change, ont ainsi été contournés.
« trac intelligent de Resupply , ce qui lui a permis d’emprunter une somme considérable pour presque rien », a expliqué Hakan Unal, responsable principal des opérations de sécurité chez Cyvers, une entreprise spécialisée dans les risques liés à la blockchain.
Tornado Cash est utilisé pour l'anonymat des transactions
L'activité de la blockchain montre que le pirate a initialement approvisionné son portefeuille via Tornado Cash, un service de mixage de cryptomonnaies décentralisé et respectueux de la vie privée, utilisé par les criminels pour dissimuler l'origine des fonds. Le point d'entrée de l'attaque était une transaction sur Cow Swap impliquant 2 ETH, selon une analyse de la société de sécurité blockchain PeckShield.
Après la violation de données, ils ont liquidé les actifs volés en convertissant les reUSD en stablecoins et Ethereum via Curve et Uniswap, deux plateformes d'échange décentralisées.
Les 9,6 millions de dollars de profit ont été répartis entre deux adresses Ethereum distinctes. L'attaquant a utilisé à la fois l'USDC et Ethereum encapsulé (wETH) pour stocker le butin final.
Plus tard dans la journée, Resupply a confirmé la faille de sécurité et admis que l'exploitation de cette vulnérabilité avait affecté son marché wstUSR. La plateforme a immédiatement suspendu tous lestracafin d'éviter tout dommage supplémentaire.
« Les utilisateurs devraient éviter les coffres-forts reUSD et retirer leurs fonds si possible », a conseillé Unal aux investisseurs utilisant ce protocole.
La faille de sécurité chez Resupply s'ajoute à une série de piratages majeurs ciblant à la fois la finance décentralisée et les plateformes centralisées. La société d'analyse forensique blockchain Chainalysis indique que plus de 2,3 milliards de dollars ont déjà été dérobés lors de piratages de cryptomonnaies depuis début 2025, un chiffre qui dépasse déjà le total de l'année précédente.
dent Resupply , le 18 juin, la plateforme d'échange de cryptomonnaies iranienne Nobitex a subi une cyberattaque dévastatrice. Des pirates informatiques ont dérobé plus de 90 millions de dollars d'actifs numériques provenant de plusieurs blockchains, dont Bitcoin , Ethereum , Dogecoin , Ripple , Solana , Tron et Ton.
Des enquêtes antérieures ont établi un lien entre des portefeuilles sur Nobitex et des acteurs affiliés au Corps des gardiens de la révolution islamique (CGRI), ainsi que des réseaux liés aux rebelles houthis au Yémen et à des agents du Hamas.
Le Bureau national israélien de lutte contre le financement du terrorisme (NBCTF) adentla plateforme comme un canal de transfert de fonds vers plusieurs entités sanctionnées. Parmi celles-ci figurent Gaza Now, média pro-Hamas, un organe de propagande présumé d'Al-Qaïda, et les plateformes d'échange de cryptomonnaies russes Garantex et Bitpapa, également sous sanctions.
