周四早些时候,一名黑客dentResupply 去中心化金融(DeFi)协议存在漏洞,并利用该漏洞窃取了价值近 960 万美元的数字资产。据报道,攻击者通过智能trac漏洞操纵了代币价格。.
据区块链安全分析师称,此次攻击的主要目标是一个与 Convex Finance 和 Yearn Finance 集成的 DeFi 稳定币平台 Resupply。攻击者利用精心设计的操纵策略,操纵与 Convex 挂钩的代币 cvcrvUSD 的价格,欺骗系统并利用几乎毫无价值的抵押品获取贷款。.
智能trac漏洞导致汇率为零
此次漏洞的主要突破点在于周四部署在Ethereum地址“ 0x6e…6bd6”trac。该合约traccvcrvUSD 的价格来计算抵押贷款的内部汇率。
又一个借贷协议利用汇率操纵在流动性低甚至空空如也的市场中牟利!
具体来说,攻击者通过捐款人为抬高了#cvcrvUSD的股价。 @ResupplyFi的 ResupplyPair 合约trac https://t.co/yo2N5lScHi ,创建于约 2 小时前)使用了…… https://t.co/MelEYFLr98 pic.twitter.com/2qXC9IiREL
— BlockSec Phalcon (@Phalcon_xyz) 2025年6月26日
攻击者利用这种依赖关系,通过协调一致的捐赠交易人为地抬高了cvcrvUSD代币的价格。当代币价值飙升时,ResupplyPair合约中的价格输入也trac暴涨。.
然而,该协议代码中的一个缺陷,特别是使用向下取整,导致价格一旦超过设定的阈值,汇率就会向下舍入为零。.
由于汇率被设定为零,攻击者仅使用 1 wei 的 cvcrvUSD 作为抵押品,就借入了大量 Resupply 的原生稳定币 reUSD。该平台的偿付能力检查机制依赖于此汇率,而此次攻击有效地绕过了这一机制。.
“trac中的一个漏洞(零汇率) ,使他们几乎可以零成本借到大量资金,”区块链风险公司 Cyvers 的高级安全运营主管 Hakan Unal 解释说。
Tornado Cash 用于交易匿名性
区块链活动显示,黑客最初通过 Tornado Cash为其钱包充值。Tornado Cash 是一种去中心化的隐私协议混合器,犯罪分子利用它来隐藏资金来源。区块链安全公司 PeckShield 的分析显示,此次攻击的入口点是 Cow Swap 上的一笔涉及 2 个 ETH 的交易。.
事件发生后,他们通过 Curve 和 Uniswap(均为去中心化交易所)将 reUSD 兑换成稳定币和 Ethereum ,从而清算了被盗资产。.
960万美元的非法所得被分散存储在两个不同的 Ethereum 地址中。攻击者使用USDC和封装 Ethereum (wETH)来存储最终的赃款。.
当天晚些时候,Resupply 确认了此次安全漏洞,并承认该漏洞影响了其 wstUSR 市场。该平台立即暂停了所有trac,以防止进一步损失。.
“用户应避免使用reUSD金库,并尽可能提取资金。”
Resupply 的数据泄露事件,进一步加剧了针对去中心化金融和中心化平台的高价值黑客攻击事件的趋势。区块链取证公司 Chainalysis 的报告显示,自 2025 年初以来,加密货币黑客攻击造成的损失已超过 23 亿美元,这一数字在年中就超过了去年同期的总额。.
就在 Resupply 事件dent,6 月 18 日,总部位于伊朗的加密货币交易所 Nobitex遭遇了Bitcoin、Ethereum、Dogecoin、Ripple、Solana、Tron和 Ton在内的多个区块链上窃取了价值超过 9000 万美元的数字资产
先前的调查已将 Nobitex 上的钱包与伊斯兰革命卫队 (IRGC) 的成员、也门胡塞武装分子和哈马斯成员联系起来。.
以色列国家反恐融资局(NBCTF)已dent该平台是向多个受制裁实体输送资金的渠道。这些实体包括亲哈马斯媒体“加沙现在”(Gaza Now,据称是基地组织的宣传机构)以及受制裁的俄罗斯加密货币交易所Garantex和Bitpapa。.
