黑客從 Resupply DeFi 穩定幣協議中竊取了近 960 萬美元

週四凌晨，一名黑客發現了 Resupply 去中心化金融 (DeFi) 協議中的一個漏洞，該漏洞導致他們竊取了近 960 萬美元的數字資產。 據報導，攻擊者利用智能合約漏洞操縱了代幣價格。

據區塊鏈安全分析師稱，此次攻擊的主要目標是與 convex finance 和 Yearn Finance 集成的 DeFi 穩定幣平台 Resupply。 攻擊者對與 Convex 掛鉤的代幣 cvcrvUSD 進行了精心設計的價格操縱，以欺騙系統，並使用幾乎毫無價值的抵押品獲得貸款。

智能合約漏洞導致匯率為零

此次漏洞的主要發現是周四部署在以太坊地址的 ResupplyPair 合約“0x6e…6bd6″合約使用 cvcrvUSD 的價格來計算抵押貸款的內部匯率。

又一個通過操縱低流動性（甚至是空的）市場的匯率來利用的借貸協議！

具體來說，攻擊者人為誇大了#cvCRVUSD的股價。 @ResupplyFi的 ResupplyPair 合約（https://t.co/yo2N5lScHi（創建於約 2 小時前）使用...https://t.co/MelEYFLr98 pic.twitter.com/2qXC9IiREL

— BlockSec Phalcon (@Phalcon_xyz) 2025年6月26日

攻擊者利用這種依賴關係，通過協調捐贈交易人為抬高 cvcrvUSD 代幣的價格。 當代幣價值飆升時，ResupplyPair 合約中的價格輸入也隨之飆升。

然而，該協議代碼存在缺陷，特別是使用下限除法，導致匯率在價格超過測量閾值後向下舍入為零。

在匯率被設置為零的情況下，攻擊者僅使用 1 wei 的 cvcrvUSD 作為抵押，就借入了 Resupply 的原生穩定幣 reUSD。 該平台依賴於此匯率的破產檢查被有效繞過。

“攻擊者操縱代幣價格，觸發 Resupply 智能合約中的一個漏洞（零匯率），讓他們幾乎不費吹灰之力就借到了一大筆錢”區塊鏈風險公司 Cyvers 的高級安全運營主管 Hakan Unal 解釋道。

Tornado Cash 用於交易匿名

區塊鏈活動顯示，黑客最初通過 Tornado Cash（一種去中心化隱私協議混合器）向錢包注資，犯罪分子利用其隱藏資金來源。 根據區塊鏈安全公司 PeckShield 的分析，此次攻擊的切入點是 Cow Swap 上的一筆涉及 2 ETH 的交易。

違規發生後，他們通過 Curve 和 Uniswap（均為去中心化交易所）將 reUSD 轉換為穩定幣和以太坊，從而清算了被盜資產。

960 萬美元的收益被分散到兩個不同的以太坊地址。 攻擊者使用 USDC 和包裝以太坊 (wether)（wether Ethereum，wETH）存儲了最終收益。

當天晚些時候，Resupply 確認了此次漏洞，並承認該漏洞已影響其 WstUSR 市場。 該平台立即暫停了所有合約，以防止進一步的損失。

“用戶應避免使用 reUSD 保險庫，並儘可能提取資金”Unal 建議使用該協議的投資者。

2025年與加密貨幣相關的黑客攻擊將變得猖獗

Resupply 的洩密事件是一系列針對去中心化金融和中心化平台的高價值黑客攻擊事件的又一例。 區塊鏈取證公司 Chainalysis 報告稱，自 2025 年初以來，已有超過 23 億美元的加密貨幣被盜，這一數字在年中就超過了去年的總額。

就在 Resupply 事件發生前幾天，6 月 18 日，伊朗加密貨幣交易所 Nobitex遭受一次毀滅性的入侵。 黑客竊取了多個區塊鏈上超過 9000 萬美元的數字資產，包括比特幣、以太坊、狗狗幣、瑞波幣、Solana、波場幣和 Ton 幣。

此前的調查顯示，Nobitex 上的錢包與伊斯蘭革命衛隊 (IRGC) 附屬的行為者以及與也門胡塞叛軍和哈馬斯特工有關的網絡有關。

以色列國家反恐融資局 (NBCTF) 已確認該平台是向多家受制裁實體提供資金的渠道。 這些實體包括親哈馬斯的媒體機構 Gaza Now（據稱是基地組織的宣傳機構），以及受制裁的俄羅斯加密貨幣交易所 GARantex 和 Bitpapa。

KEY 差異線幫助加密貨幣品牌快速突破並佔據頭條新聞