قام مهاجم بالتلاعب بأسعار الرموز لتشويه أسعار التبادل وسحب حوالي 9.5 مليون دولار من بروتوكول عملة مستقرة دي سنترالايزد ريسابلاي.
تم الإبلاغ عن الاستغلال لأول مرة في 25 يونيو من قبل منصة الأمان BlockSec Phalcon، التي اكتشفت معاملة مشبوهة أدت إلى خسارة قدرها 9.5 مليون دولار. أكد بروتوكول إعادة الإمداد الحادثة على X بعد ذلك بوقت قصير، مدعيًا أن العقد الذكي المتأثر قد تم إيقافه وأن الهجوم أثر فقط على سوق wstUSR الخاص به. كما ذكر الفريق أن دراسة شاملة لما بعد الحادثة جارية وأن البروتوكول الأساسي لا يزال قيد التشغيل.
بينما لا يزال التحليل التفصيلي معلقًا، تشير التحليلات الأولية من باحثي الأمن إلى حالة كلاسيكية من التلاعب في الأسعار داخل سوق منخفض السيولة. تم استهداف الاستغلال cvcrvUSD، وهو نسخة مغلفة من عملة Curve DAO (CRV) crvUSD المودعة عبر Convex Finance.
يقول المحللون إن المهاجم قام بالتلاعب بسعر سهم cvcrvUSD عن طريق إرسال تبرعات صغيرة، مما أدى إلى تضخيم قيمته بشكل مصطنع. نظرًا لأن صيغة سعر الصرف في Resupply اعتمدت على هذا السعر المضخم، فقد أصبح النظام عرضة للهجمات.
ثم استخدم المهاجم عقد Resupply الذكي لاقتراض 10 ملايين reUSD، عملة المنصة المستقرة الأصلية، مع ضمان واحد wei من cvcrvUSD فقط. تم تبادل reUSD المقترض بسرعة إلى أصول أخرى في الأسواق الخارجية، مما أسفر عن خسارة صافية تقارب 9.5 مليون دولار.
أظهرت التحقيقات الإضافية أن المهاجم استغل غلاف ERC4626 الفارغ الذي كان يعمل كأوراكل سعر في زوج CurveLend من بروتوكول. وقد سمح ذلك لسعر cvcrvUSD بالارتفاع باستخدام فقط اثنين من crvUSD، متجاوزًا متطلبات الضمان المعتادة.
تضيف هذه الحادثة إلى اتجاه متزايد من هجمات التلاعب بالأسعار في 2025. لقد أثرت استغلالات مماثلة مؤخرًا على بروتوكولات مثل Meta Pool ونظام GMX/MIM Spell، اللذان تم اختراقهما بسبب ثغرات الأوركل وتلاعب الرموز ذات السيولة المنخفضة.
تظل آليات التسعير الضعيفة والقروض الفورية أدوات شائعة للمهاجمين، الذين يستمرون في استهداف أنظمة التمويل اللامركزي ذات أحجام التداول الضعيفة على الرغم من اجتياز تدقيقات أمان العقود. لم تؤكد Resupply بعد ما إذا كانت أموال المستخدمين ستُعوض أو إذا كانت جهود الاسترداد جارية.
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
تم استغلال بروتوكول إعادة الإمداد بمبلغ 9.5 مليون دولار من خلال التلاعب في الأسعار
قام مهاجم بالتلاعب بأسعار الرموز لتشويه أسعار التبادل وسحب حوالي 9.5 مليون دولار من بروتوكول عملة مستقرة دي سنترالايزد ريسابلاي.
تم الإبلاغ عن الاستغلال لأول مرة في 25 يونيو من قبل منصة الأمان BlockSec Phalcon، التي اكتشفت معاملة مشبوهة أدت إلى خسارة قدرها 9.5 مليون دولار. أكد بروتوكول إعادة الإمداد الحادثة على X بعد ذلك بوقت قصير، مدعيًا أن العقد الذكي المتأثر قد تم إيقافه وأن الهجوم أثر فقط على سوق wstUSR الخاص به. كما ذكر الفريق أن دراسة شاملة لما بعد الحادثة جارية وأن البروتوكول الأساسي لا يزال قيد التشغيل.
بينما لا يزال التحليل التفصيلي معلقًا، تشير التحليلات الأولية من باحثي الأمن إلى حالة كلاسيكية من التلاعب في الأسعار داخل سوق منخفض السيولة. تم استهداف الاستغلال cvcrvUSD، وهو نسخة مغلفة من عملة Curve DAO (CRV) crvUSD المودعة عبر Convex Finance.
يقول المحللون إن المهاجم قام بالتلاعب بسعر سهم cvcrvUSD عن طريق إرسال تبرعات صغيرة، مما أدى إلى تضخيم قيمته بشكل مصطنع. نظرًا لأن صيغة سعر الصرف في Resupply اعتمدت على هذا السعر المضخم، فقد أصبح النظام عرضة للهجمات.
ثم استخدم المهاجم عقد Resupply الذكي لاقتراض 10 ملايين reUSD، عملة المنصة المستقرة الأصلية، مع ضمان واحد wei من cvcrvUSD فقط. تم تبادل reUSD المقترض بسرعة إلى أصول أخرى في الأسواق الخارجية، مما أسفر عن خسارة صافية تقارب 9.5 مليون دولار.
أظهرت التحقيقات الإضافية أن المهاجم استغل غلاف ERC4626 الفارغ الذي كان يعمل كأوراكل سعر في زوج CurveLend من بروتوكول. وقد سمح ذلك لسعر cvcrvUSD بالارتفاع باستخدام فقط اثنين من crvUSD، متجاوزًا متطلبات الضمان المعتادة.
تضيف هذه الحادثة إلى اتجاه متزايد من هجمات التلاعب بالأسعار في 2025. لقد أثرت استغلالات مماثلة مؤخرًا على بروتوكولات مثل Meta Pool ونظام GMX/MIM Spell، اللذان تم اختراقهما بسبب ثغرات الأوركل وتلاعب الرموز ذات السيولة المنخفضة.
تظل آليات التسعير الضعيفة والقروض الفورية أدوات شائعة للمهاجمين، الذين يستمرون في استهداف أنظمة التمويل اللامركزي ذات أحجام التداول الضعيفة على الرغم من اجتياز تدقيقات أمان العقود. لم تؤكد Resupply بعد ما إذا كانت أموال المستخدمين ستُعوض أو إذا كانت جهود الاسترداد جارية.