Протокол стейблкоинов Resupply потерял около $9,5 млн в результате взлома. Хакер воспользовался уязвимостью в системе расчета обменного курса.
Resupply has experienced an exploit in the wstUSR market. The affected contract has been identified and paused. Only the wstUSR market was impacted and the protocol continues to function as intended. A full post-mortem will be shared as soon as a complete analysis of the…— Resupply (@ResupplyFi) June 26, 2025
Команда проекта подтвердила инцидент. Представители заявили, что уязвимый смарт-контракт идентифицирован и приостановлен.
Злоумышленник искусственно завысил цену токена cvcrvUSD — обернутой версии crvUSD, застейканной в Convex Finance. Для этого он отправил в хранилище актива «пожертвования», что привело к резкому росту его стоимости.
По данным OKX Explorer, смарт-контракт Resupply использовал завышенную цену cvcrvUSD в своих расчетах. Это позволило злоумышленнику занять 10 млн нативных стейблкоинов reUSD, использовав в качестве залога всего 1 wei cvcrvUSD.
🚨Security AlertOn June 26, 2025, the @ResupplyFi experienced a security breach, resulting in a loss of approximately $9.3 million. The attack was made possible by inflating the share token price of an empty crvUSD Vault through a donation attack, enabling the attacker to… pic.twitter.com/pU0g8riOLi— OKX Explorer (@okxexplorer) June 26, 2025
Аналитики BlockSec добавили, что средства были выведены с рынка wstUSR через функцию заимствования.
😔 $9.5M lost in today’s attack... https://t.co/N1tcITVr6f— BlockSec (@BlockSecTeam) June 26, 2025
В дальнейшем злоумышленник обменял похищенные reUSD на другие активы на внешних площадках для фиксации прибыли.
Here are the latest whereabouts of the stolen $9.6M funds from @ResupplyFi pic.twitter.com/8HWYd3yqtT— PeckShield Inc. (@peckshield) June 26, 2025
Напомним, 18 июня хакеры взломали иранскую биржу Nobitex на $100 млн и раскрыли исходный код платформы.
Позднее L2-протокол zkLend на базе Starknet объявил о закрытии из-за взлома и делистинга токена LEND с крупных бирж.
