Децентрализованный финансовый протокол стейблкоинов Resupply стал жертвой масштабного взлома. В результате атаки злоумышленникам удалось вывести активы на сумму около $9,5 млн, что эквивалентно $9,6 млн по некоторым оценкам.
Об этом сообщает Finway
Детали инцидента и реакция команды
Разработчики Resupply подтвердили факт взлома и временно приостановили деятельность на пораженном рынке. Согласно официальному заявлению, эксплойт затронул лишь одно направление — рынок wstUSR. Уязвимость в смарт-контракте уже выявлена и изолирована, однако полный отчет о событии команда планирует опубликовать после завершения расследования.
Resupply experienced an exploit in the wstUSR market. Пострадавший контракт идентифицирован и приостановлен. Пострадал лишь рынок wstUSR, и протокол продолжает функционировать по назначению. Полный пост-мортем будет опубликован, как только будет проведен полный анализ..
Механизм атаки и последствия для протокола
Эксперты по безопасности объяснили, что хакер воспользовался уязвимостью через манипуляции ценой cvcrvUSD, используя механизм пожертвований для искусственного завышения курса. Это привело к тому, что показатель exchangeRate упал до нуля, позволив злоумышленнику получить значительное количество токенов reUSD с обеспечением всего в 1 wei. В дальнейшем активы были выведены и переведены в Ethereum, после чего распределены между двумя адресами. Финансирование атаки осуществлялось через миксер Tornado Cash.
В результате инцидента общая заблокированная стоимость (TVL) протокола уменьшилась с $135,02 млн до $107,19 млн, что отражено на графике:
Этот случай вновь демонстрирует уязвимость DeFi-протоколов к сложным атакам, основанным на манипуляциях механизмами ликвидности и ценовыми оракулами.