Un atacante manipuló los precios de los tokens para distorsionar las tasas de intercambio y drenar alrededor de $9.5 millones del protocolo de moneda estable Resupply.
La explotación fue señalada por primera vez el 25 de junio por la plataforma de seguridad BlockSec Phalcon, que detectó una transacción sospechosa que condujo a una pérdida de 9.5 millones de dólares. El protocolo de reabastecimiento confirmó el incidente en X poco después, afirmando que el contrato inteligente afectado había sido pausado y que el ataque solo afectó su mercado de wstUSR. El equipo también declaró que se está llevando a cabo una exhaustiva revisión post-mortem y que el protocolo central sigue operativo.
Aunque aún se está a la espera de un desglose detallado, el análisis preliminar de los investigadores de seguridad apunta a un caso clásico de manipulación de precios dentro de un mercado de baja liquidez. La explotación tuvo como objetivo cvcrvUSD, una versión envuelta del token crvUSD de Curve DAO (CRV) apostado a través de Convex Finance.
Los analistas dicen que el atacante manipuló el precio de las acciones de cvcrvUSD al enviar pequeñas donaciones, lo que infló artificialmente su valor. Debido a que la fórmula de tasa de intercambio de Resupply dependía de este precio inflado, el sistema se volvió vulnerable.
El atacante luego usó el contrato inteligente de Resupply para pedir prestados 10 millones de reUSD, la moneda estable nativa de la plataforma, con solo un wei de cvcrvUSD como colateral. El reUSD prestado fue rápidamente intercambiado por otros activos en mercados externos, resultando en una pérdida neta de casi $9.5 millones.
Una investigación adicional reveló que el atacante explotó un envoltorio ERC4626 vacío que servía como un oráculo de precios en el par CurveLend del protocolo. Esto permitió que el precio de cvcrvUSD se disparara usando solo dos crvUSD, eludiendo los requisitos habituales de colateral.
Este incidente se suma a una creciente tendencia de ataques de manipulación de precios en 2025. Explotaciones similares han afectado recientemente a protocolos como Meta Pool y el ecosistema GMX/MIM Spell, que fueron comprometidos debido a vulnerabilidades de oráculo y manipulación de tokens de baja liquidez.
Los mecanismos de precios débiles y los préstamos relámpago siguen siendo herramientas comunes para los atacantes, que continúan atacando sistemas DeFi con volúmenes de comercio bajos a pesar de haber pasado auditorías de seguridad de contratos. Resupply aún no ha confirmado si los fondos de los usuarios serán reembolsados o si se están llevando a cabo esfuerzos de recuperación.
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
Protocolo de reabastecimiento explotado por $9.5M a través de manipulación de precios
Un atacante manipuló los precios de los tokens para distorsionar las tasas de intercambio y drenar alrededor de $9.5 millones del protocolo de moneda estable Resupply.
La explotación fue señalada por primera vez el 25 de junio por la plataforma de seguridad BlockSec Phalcon, que detectó una transacción sospechosa que condujo a una pérdida de 9.5 millones de dólares. El protocolo de reabastecimiento confirmó el incidente en X poco después, afirmando que el contrato inteligente afectado había sido pausado y que el ataque solo afectó su mercado de wstUSR. El equipo también declaró que se está llevando a cabo una exhaustiva revisión post-mortem y que el protocolo central sigue operativo.
Aunque aún se está a la espera de un desglose detallado, el análisis preliminar de los investigadores de seguridad apunta a un caso clásico de manipulación de precios dentro de un mercado de baja liquidez. La explotación tuvo como objetivo cvcrvUSD, una versión envuelta del token crvUSD de Curve DAO (CRV) apostado a través de Convex Finance.
Los analistas dicen que el atacante manipuló el precio de las acciones de cvcrvUSD al enviar pequeñas donaciones, lo que infló artificialmente su valor. Debido a que la fórmula de tasa de intercambio de Resupply dependía de este precio inflado, el sistema se volvió vulnerable.
El atacante luego usó el contrato inteligente de Resupply para pedir prestados 10 millones de reUSD, la moneda estable nativa de la plataforma, con solo un wei de cvcrvUSD como colateral. El reUSD prestado fue rápidamente intercambiado por otros activos en mercados externos, resultando en una pérdida neta de casi $9.5 millones.
Una investigación adicional reveló que el atacante explotó un envoltorio ERC4626 vacío que servía como un oráculo de precios en el par CurveLend del protocolo. Esto permitió que el precio de cvcrvUSD se disparara usando solo dos crvUSD, eludiendo los requisitos habituales de colateral.
Este incidente se suma a una creciente tendencia de ataques de manipulación de precios en 2025. Explotaciones similares han afectado recientemente a protocolos como Meta Pool y el ecosistema GMX/MIM Spell, que fueron comprometidos debido a vulnerabilidades de oráculo y manipulación de tokens de baja liquidez.
Los mecanismos de precios débiles y los préstamos relámpago siguen siendo herramientas comunes para los atacantes, que continúan atacando sistemas DeFi con volúmenes de comercio bajos a pesar de haber pasado auditorías de seguridad de contratos. Resupply aún no ha confirmado si los fondos de los usuarios serán reembolsados o si se están llevando a cabo esfuerzos de recuperación.