木曜日早朝、ハッカーがResupplyの分散型金融(DeFi)プロトコルの脆弱性をdent、約960万ドル相当のデジタル資産を不正に流用した。報道によると、攻撃者はスマートtracの脆弱性を利用してトークン価格を操作したという。.
ブロックチェーンセキュリティアナリストによると、今回のエクスプロイトの主な標的は、Convex FinanceとYearn Financeと統合された DeFi ステーブルコインプラットフォームであるResupplyでした。攻撃者は、Convexに紐付けられたトークンであるcvcrvUSDに対して精巧な価格操作を行い、システムを欺いて実質的に価値のない担保を使って融資を獲得しました。.
スマートtracのバグにより為替レートがゼロに
侵害の主なポイントは、木曜日にEthereumアドレス「 0x6e…6bd6」trac。このコントラクトtrac、担保付き融資の内部為替レートを計算するためにcvcrvUSDの価格を使用していました。
流動性の低い、さらには空っぽの市場で為替レート操作を介して悪用される、また別の貸付プロトコルです。
具体的には、攻撃者は#cvcrvUSDの株価を人為的に吊り上げました。 @ResupplyFiのResupplyPairコントラクトtrac https://t.co/yo2N5lScHi 、約2時間前に作成)は… https://t.co/MelEYFLr98 pic.twitter.com/2qXC9IiREL
— BlockSec Phalcon (@Phalcon_xyz) 2025年6月26日
攻撃者はこの依存関係を利用し、協調的な寄付取引を通じてcvcrvUSDトークンの価格を人為的に吊り上げました。トークンの価格が急騰すると、ResupplyPairtracに入力された価格も急騰しました。.
しかし、プロトコルのコード、具体的には切り捨て除算の使用における欠陥により、価格が測定されたしきい値を超えると、為替レートがゼロに切り捨てられました。.
為替レートをゼロに設定することで、攻撃者はわずか1 weiのcvcrvUSDを担保として、ResupplyのネイティブステーブルコインであるreUSDを大量に借り入れることができました。この為替レートに依存するプラットフォームの破産審査は、事実上回避されました。.
「tracのバグ(交換レートゼロ)を引き起こし、ほとんど無償で多額の資金を借り入れることができました」とブロックチェーンリスク企業Cyversのシニアセキュリティオペレーションリーダー、ハカン・ウナル氏は説明した。
取引の匿名性を保つためにトルネード Cash が使用される
ブロックチェーンの活動から、ハッカーは当初、資金の出所を隠すために犯罪者が使用する分散型プライバシープロトコルミキサーであるTornado Cashを通じてウォレットに資金を入金したことが判明した。ブロックチェーンセキュリティ企業PeckShieldの分析によると、攻撃のエントリーポイントはCow Swapにおける2ETHの取引だった。.
侵入後、彼らは分散型取引所であるCurveとUniswapを通じてreUSDをステーブルコインと Ethereum に変換し、盗まれた資産を清算しました。.
960万ドルの利益は2つの Ethereum アドレスに分割されました。攻撃者は最終的な利益をUSDCとラップされた Ethereum (wETH)の両方で保管していました。.
同日遅く、Resupplyは侵害を確認し、このエクスプロイトが同社のwstUSR市場に影響を与えたことを認めました。プラットフォームは、さらなる被害を防ぐため、直ちにすべてのtracを一時停止しました。.
「ユーザーはreUSD金庫を避け、可能であれば資金を引き出すべきだ」とウナル氏はプロトコルを使用する投資家にアドバイスした。
Resupplyの侵害は、分散型金融(DFC)と中央集権型プラットフォームの両方を標的とした一連の高額ハッキング事件に加わるものです。ブロックチェーンフォレンジック企業Chainalysisの報告によると、2025年初頭以降、暗号資産ハッキングによる盗難額は既に23億ドルを超えており、これは年央時点で昨年の総額を上回っています。.
Resupply事件のわずか数日前dent 6月18日、イラン拠点の暗号通貨取引所Nobitexがに見舞われましたBitcoin、Ethereum、Dogecoin、Ripple、Solana、Tron、Tonなど、複数のブロックチェーンから9,000万ドル相当のデジタル資産を盗み出しました
これまでの調査で、Nobitex のウォレットは、イスラム革命防衛隊 (IRGC) に所属する人物や、イエメンのフーシ派反政府勢力やハマス工作員と関係のあるネットワークに関連付けられていることが判明している。.
イスラエルの国家テロ資金対策局(NBCTF)は、このプラットフォームが複数の制裁対象団体への資金の経路となっているとdentした。これには、アルカイダのプロパガンダ機関とされるハマス支持メディア「ガザ・ナウ」、そして制裁対象となっているロシアの仮想通貨取引所「ガランテックス」と「ビットパパ」が含まれる。.
