黑客竊取 DeFi 穩定幣協議補給中的 960 萬美元

一名黑客從 Resupply 盜走了 960 萬美元。 Resupply 是一個去中心化穩定幣協議，與主要的 DeFi 參與者 convex finance 和 Yearn Finance 有關聯。 黑客通過操縱代幣價格，利用該平台匯率計算中的一個關鍵漏洞，盜取了 Resupply 的 960 萬美元。

攻擊者通過定向“捐贈”的方式，人為抬高了 cvCRVUSD（Curve Vault 的 CurveUSD 代幣）的價格，並將其投放到交易量極低的市場。 隨後，他們利用這一操縱價格，僅用 1wei 的抵押品就借入了價值近 1000 萬美元的 reUSD 代幣。 區塊鏈安全公司 Phalcon.

此次攻擊是一系列重大加密安全漏洞中的最新一起，這些漏洞今年已給該行業造成超過 21 億美元的損失，表明儘管安全意識不斷增強，但去中心化金融協議仍然存在漏洞。

Cyvers 高級安全運營主管 Hakan Unal 表示：“攻擊者操縱了代幣價格，觸發了 Resupply 智能合約中的一個漏洞（零匯率），讓他們幾乎不費吹灰之力就借到了一大筆錢。”解密.

這種零匯率使得攻擊者可以完全繞過償付能力檢查，並以極少的抵押品借入巨額資金。

在獲得貸款後，他們迅速通過 Curve 和 Uniswap 將代幣兌換成 USDC 並包裝以太坊，從而產生了 950 萬美元的利潤。

Unal 建議：“用戶應避免使用 reUSD 金庫並儘可能提取資金。”

PeckShield 的附加分析揭示了攻擊的切入點：Cow Swap 上的一筆涉及 2 ETH 的交易，隨後通過匿名硬幣混合器 Tornado Cash為了匿名。

Cow Swap 是一個去中心化交易所，允許用戶在交易加密貨幣時無需預先設置搶先交易保護。 攻擊者最終從該協議中竊取了約 1,581 ETH。

“Resupply 在 WstUSR 市場遭遇了攻擊，”該平台確認違規行為通過其官方X賬戶。 “受影響的合約已被識別並暫停。只有wstUSR市場受到影響，協議繼續按預期運行。”

該平台宣布已暫停受影響的市場，同時維持其他市場的正常運營，並承諾“在對情況進行全面分析後，將立即分享完整的事後分析”。

CertiK已報導攻擊者將大約 556 萬美元轉移到一個地址，將 400 萬美元轉移到另一個地址，將被盜資金集中到兩個錢包中，兩個錢包分別包含 2.2K eth 和 1.6K ETH。

Resupply 漏洞延續了今年令人不安的重大加密漏洞模式。

就在一周多前，伊朗加密貨幣交易所Nobitex 遭遇 4900 萬美元的違規行為據稱是親以色列黑客組織“Gonjeshke Darande”所為。

該組織使用具有挑釁性名稱的錢包地址並有效地銷毀了被盜資金，以發表政治聲明，而不是從盜竊中獲利。

編輯史黛西·艾略特.