Un hacker hadentgiovedì mattina una falla nel protocollo di finanza decentralizzata (DeFi) di Resupply, che ha contribuito a sottrarre quasi 9,6 milioni di dollari in asset digitali. Secondo quanto riferito, l'aggressore ha manipolato i prezzi dei token tramite una vulnerabilità degli smarttrac.
Secondo gli analisti della sicurezza blockchain, Resupply, una piattaforma stablecoin DeFi integrata con Convex Finance e Yearn Finance, era l'obiettivo principale dell'exploit. L'aggressore ha utilizzato un'elaborata tattica di manipolazione dei prezzi su cvcrvUSD, un token legato a Convex, per ingannare il sistema e ottenere un prestito utilizzando garanzie praticamente prive di valore.
Il bug deltracintelligente porta a un tasso di cambio pari a zero
Il punto principale della violazione è stato individuato nel contratto ResupplyPair trac attivato giovedì all'indirizzo Ethereum " 0x6e…6bd6" . Il contratto trac il prezzo di cvcrvUSD per calcolare un tasso di cambio interno per i prestiti garantiti.
L'ennesimo protocollo di prestito sfruttato tramite la manipolazione del tasso di cambio su mercati a bassa liquidità, se non addirittura vuoti!
Nello specifico, gli aggressori hanno gonfiato artificialmente il prezzo delle azioni di #cvcrvUSD trac ResupplyPair di @ResupplyFi ( https://t.co/yo2N5lScHi , creato circa 2 ore fa) utilizza… https://t.co/MelEYFLr98 pic.twitter.com/2qXC9IiREL
— BlockSec Phalcon (@Phalcon_xyz) 26 giugno 2025
L'aggressore ha sfruttato questa dipendenza gonfiando artificialmente il prezzo del token cvcrvUSD attraverso transazioni di donazione coordinate. Quando il valore del token è aumentato, anche il prezzo immesso nel contratto ResupplyPair è aumentatotrac.
Tuttavia, un difetto nel codice del protocollo, in particolare l'uso della divisione minima, faceva sì che il tasso di cambio venisse arrotondato per difetto a zero quando il prezzo superava una soglia misurata.
Con il tasso di cambio impostato a zero, l'attaccante è riuscito a prendere in prestito un'enorme quantità di stablecoin nativa di Resupply, reUSD, utilizzando solo 1 wei di cvcrvUSD come garanzia. I controlli di insolvenza della piattaforma, che si basano su questo tasso di cambio, sono stati di fatto aggirati.
" L'aggressore ha manipolato i prezzi dei token, innescando un bug (tasso di cambio pari a zero) nello smart contract di Resupply trac consentendo loro di prendere in prestito un sacco di soldi per quasi niente ", ha spiegato Hakan Unal, responsabile senior delle operazioni di sicurezza presso la società di gestione dei rischi blockchain Cyvers.
Tornado Cash utilizzato per l'anonimato delle transazioni
L'attività blockchain mostra che l'hacker ha inizialmente finanziato il proprio portafoglio tramite Tornado Cash, un mixer di protocolli di privacy decentralizzato che i criminali utilizzano per nascondere l'origine dei fondi. Il punto di ingresso dell'attacco è stata una transazione su Cow Swap che ha coinvolto 2 ETH, secondo un'analisi della società di sicurezza blockchain PeckShield.
Dopo la violazione, hanno liquidato i beni rubati convertendo reUSD in stablecoin ed Ethereum tramite Curve e Uniswap, entrambi exchange decentralizzati.
I 9,6 milioni di dollari di profitto sono stati suddivisi su due indirizzi Ethereum separati. L'aggressore ha utilizzato sia USDC che wrapped Ethereum (wETH) per conservare il ricavato finale.
Più tardi, nel corso della giornata, Resupply ha confermato la violazione e ha ammesso che l'exploit aveva colpito il suo mercato wstUSR. La piattaforma ha immediatamente sospeso tutti itracper prevenire ulteriori danni.
" Gli utenti dovrebbero evitare i caveau reUSD e prelevare i fondi se possibile ", ha consigliato Unal agli investitori che utilizzano il protocollo.
La violazione di Resupply si aggiunge a una serie di attacchi informatici di alto valore che prendono di mira sia la finanza decentralizzata che le piattaforme centralizzate. La società di analisi forense blockchain Chainalysis segnala che oltre 2,3 miliardi di dollari sono già stati rubati in attacchi informatici crypto dall'inizio del 2025, una cifra che supera di gran lunga il totale dell'anno scorso a metà anno.
Pochi giorni prima dell'incidente di Resupply dent il 18 giugno, l'exchange di criptovalute iraniano Nobitex ha subito una violazione devastante. Gli hacker hanno rubato oltre 90 milioni di dollari in asset digitali da diverse blockchain, tra cui Bitcoin , Ethereum , Dogecoin , Ripple , Solana , Tron e Ton.
Precedenti indagini hanno collegato i portafogli su Nobitex ad attori affiliati al Corpo delle Guardie della Rivoluzione Islamica (IRGC) e a reti legate ai ribelli Houthi nello Yemen e ad agenti di Hamas.
L'Ufficio Nazionale per il Finanziamento del Terrore (NBCTF) di Israele hadentla piattaforma come un canale di finanziamento per diverse entità sanzionate. Tra queste, l'organo di informazione pro-Hamas Gaza Now, presunto braccio propagandistico di al-Qaeda, e gli exchange di criptovalute russi sanzionati Garantex e Bitpapa.
