Um atacante manipulou os preços dos tokens para distorcer as taxas de câmbio e drenar cerca de 9,5 milhões de dólares do protocolo de moeda estável descentralizado Resupply.
A exploração foi sinalizada pela primeira vez em 25 de junho pela plataforma de segurança BlockSec Phalcon, que detectou uma transação suspeita levando a uma perda de 9,5 milhões de dólares. O protocolo de reabastecimento confirmou o incidente no X logo a seguir, afirmando que o contrato inteligente afetado havia sido pausado e que o ataque afetou apenas o seu mercado wstUSR. A equipe também afirmou que uma análise pós-morte completa está em andamento e que o protocolo principal ainda está operacional.
Embora uma análise detalhada ainda esteja pendente, a análise preliminar de pesquisadores de segurança aponta para um caso clássico de manipulação de preços dentro de um mercado de baixa liquidez. O exploit visou o cvcrvUSD, uma versão embrulhada do token crvUSD da Curve DAO (CRV) apostado através da Convex Finance.
Os analistas dizem que o atacante manipulou o preço das ações do cvcrvUSD enviando pequenas doações, o que inflacionou artificialmente o seu valor. Como a fórmula da taxa de câmbio da Resupply dependia deste preço inflacionado, o sistema tornou-se vulnerável.
O atacante então usou o contrato inteligente da Resupply para emprestar 10 milhões de reUSD, a moeda estável nativa da plataforma, com apenas um wei de cvcrvUSD como garantia. O reUSD emprestado foi rapidamente trocado por outros ativos em mercados externos, resultando em uma perda líquida de quase $9,5 milhões.
Investigação adicional revelou que o atacante explorou um wrapper ERC4626 vazio que estava a servir como um oráculo de preços no par CurveLend do protocolo. Isso permitiu que o preço do cvcrvUSD disparasse usando apenas dois crvUSD, contornando os requisitos habituais de colateral.
Este incidente adiciona-se a uma tendência crescente de ataques de manipulação de preços em 2025. Explorações semelhantes afetaram recentemente protocolos como o Meta Pool e o ecossistema GMX/MIM Spell, que foram ambos comprometidos devido a vulnerabilidades de oracle e manipulação de tokens com baixa liquidez.
Mecanismos de preços fracos e empréstimos relâmpago continuam a ser ferramentas comuns para atacantes, que continuam a direcionar sistemas DeFi com volumes de negociação baixos, apesar de terem passado por auditorias de segurança de contratos. A Resupply ainda não confirmou se os fundos dos usuários serão reembolsados ou se os esforços de recuperação estão em andamento.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Protocolo de reabastecimento explorado por $9.5M através de manipulação de preços
Um atacante manipulou os preços dos tokens para distorcer as taxas de câmbio e drenar cerca de 9,5 milhões de dólares do protocolo de moeda estável descentralizado Resupply.
A exploração foi sinalizada pela primeira vez em 25 de junho pela plataforma de segurança BlockSec Phalcon, que detectou uma transação suspeita levando a uma perda de 9,5 milhões de dólares. O protocolo de reabastecimento confirmou o incidente no X logo a seguir, afirmando que o contrato inteligente afetado havia sido pausado e que o ataque afetou apenas o seu mercado wstUSR. A equipe também afirmou que uma análise pós-morte completa está em andamento e que o protocolo principal ainda está operacional.
Embora uma análise detalhada ainda esteja pendente, a análise preliminar de pesquisadores de segurança aponta para um caso clássico de manipulação de preços dentro de um mercado de baixa liquidez. O exploit visou o cvcrvUSD, uma versão embrulhada do token crvUSD da Curve DAO (CRV) apostado através da Convex Finance.
Os analistas dizem que o atacante manipulou o preço das ações do cvcrvUSD enviando pequenas doações, o que inflacionou artificialmente o seu valor. Como a fórmula da taxa de câmbio da Resupply dependia deste preço inflacionado, o sistema tornou-se vulnerável.
O atacante então usou o contrato inteligente da Resupply para emprestar 10 milhões de reUSD, a moeda estável nativa da plataforma, com apenas um wei de cvcrvUSD como garantia. O reUSD emprestado foi rapidamente trocado por outros ativos em mercados externos, resultando em uma perda líquida de quase $9,5 milhões.
Investigação adicional revelou que o atacante explorou um wrapper ERC4626 vazio que estava a servir como um oráculo de preços no par CurveLend do protocolo. Isso permitiu que o preço do cvcrvUSD disparasse usando apenas dois crvUSD, contornando os requisitos habituais de colateral.
Este incidente adiciona-se a uma tendência crescente de ataques de manipulação de preços em 2025. Explorações semelhantes afetaram recentemente protocolos como o Meta Pool e o ecossistema GMX/MIM Spell, que foram ambos comprometidos devido a vulnerabilidades de oracle e manipulação de tokens com baixa liquidez.
Mecanismos de preços fracos e empréstimos relâmpago continuam a ser ferramentas comuns para atacantes, que continuam a direcionar sistemas DeFi com volumes de negociação baixos, apesar de terem passado por auditorias de segurança de contratos. A Resupply ainda não confirmou se os fundos dos usuários serão reembolsados ou se os esforços de recuperação estão em andamento.