Децентралізований фінансовий протокол стейблкоїнів Resupply став жертвою масштабного зламу. В результаті атаки зловмисникам вдалося вивести активи на суму близько $9,5 млн, що еквівалентно $9,6 млн за деякими оцінками.
Про це розповідає Finway
Деталі інциденту та реакція команди
Розробники Resupply підтвердили факт злому та тимчасово зупинили діяльність на ураженому ринку. Згідно з офіційною заявою, експлойт торкнувся лише одного напрямку — ринку wstUSR. Вразливість у смартконтракті вже виявлена та ізольована, проте повний звіт про подію команда планує опублікувати після завершення розслідування.
Resupply experienced an exploit in the wstUSR market. Постраждалий контракт ідентифіковано та призупинено. Постраждав лише ринок wstUSR, і протокол продовжує функціонувати за призначенням. Повний пост-мортем буде опублікований, як тільки буде проведений повний аналіз..
Механізм атаки та наслідки для протоколу
Експерти з безпеки пояснили, що хакер скористався вразливістю через маніпуляції ціною cvcrvUSD, використовуючи механізм пожертвувань для штучного завищення курсу. Це призвело до того, що показник exchangeRate впав до нуля, дозволивши зловмиснику отримати значну кількість токенів reUSD із забезпеченням лише в 1 wei. Надалі активи були виведені та переведені в Ethereum, після чого розподілені між двома адресами. Фінансування атаки здійснювалося через міксер Tornado Cash.
Внаслідок інциденту загальна заблокована вартість (TVL) протоколу зменшилася з $135,02 млн до $107,19 млн, що відображено на графіку:
Цей випадок вкотре демонструє вразливість DeFi-протоколів до складних атак, заснованих на маніпуляціях механізмами ліквідності та цінових оракулах.