Un attaquant a manipulé les prix des jetons pour distordre les taux de change et siphonner environ 9,5 millions de dollars du protocole stablecoin décentralisé Resupply.
L'exploit a été d'abord signalé le 25 juin par la plateforme de sécurité BlockSec Phalcon, qui a détecté une transaction suspecte entraînant une perte de 9,5 millions de dollars. Le protocole de réapprovisionnement a confirmé l'incident sur X peu après, affirmant que le contrat intelligent affecté avait été mis en pause et que l'attaque n'avait touché que son marché wstUSR. L'équipe a également déclaré qu'une analyse post-mortem approfondie était en cours et que le protocole de base était toujours opérationnel.
Bien qu'une répartition détaillée soit encore en attente, une analyse préliminaire des chercheurs en sécurité indique un cas classique de manipulation des prix dans un marché à faible liquidité. L'exploitation a visé le cvcrvUSD, une version enveloppante du jeton crvUSD (CRV) de Curve DAO mis en jeu via Convex Finance.
Les analystes affirment que l'attaquant a manipulé le prix de l'action de cvcrvUSD en envoyant de petites donations, ce qui a artificiellement gonflé sa valeur. Comme la formule de taux de change de Resupply reposait sur ce prix gonflé, le système est devenu vulnérable.
L'attaquant a ensuite utilisé le contrat intelligent de Resupply pour emprunter 10 millions de reUSD, le stablecoin natif de la plateforme, avec seulement un wei de cvcrvUSD en garantie. Le reUSD emprunté a été rapidement échangé contre d'autres actifs sur des marchés externes, entraînant une perte nette de près de 9,5 millions de dollars.
Une enquête supplémentaire a révélé que l'attaquant a exploité un wrapper ERC4626 vide qui servait d'oracle de prix dans la paire CurveLend du protocole. Cela a permis au prix de cvcrvUSD de monter en flèche en utilisant seulement deux crvUSD, contournant ainsi les exigences habituelles en matière de garantie.
Cet incident s'ajoute à une tendance croissante des attaques de manipulation des prix en 2025. Des exploits similaires ont récemment affecté des protocoles tels que Meta Pool et l'écosystème GMX/MIM Spell, qui ont tous deux été compromis en raison de vulnérabilités d'oracle et de manipulation de jetons à faible liquidité.
Les mécanismes de tarification faibles et les prêts flash restent des outils courants pour les attaquants, qui continuent de cibler les systèmes DeFi avec des volumes de trading faibles malgré le passage des audits de sécurité des contrats. Resupply n'a pas encore confirmé si les fonds des utilisateurs seront remboursés ou si des efforts de récupération sont en cours.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Protocole de réapprovisionnement exploité pour 9,5M $ via manipulation des prix
Un attaquant a manipulé les prix des jetons pour distordre les taux de change et siphonner environ 9,5 millions de dollars du protocole stablecoin décentralisé Resupply.
L'exploit a été d'abord signalé le 25 juin par la plateforme de sécurité BlockSec Phalcon, qui a détecté une transaction suspecte entraînant une perte de 9,5 millions de dollars. Le protocole de réapprovisionnement a confirmé l'incident sur X peu après, affirmant que le contrat intelligent affecté avait été mis en pause et que l'attaque n'avait touché que son marché wstUSR. L'équipe a également déclaré qu'une analyse post-mortem approfondie était en cours et que le protocole de base était toujours opérationnel.
Bien qu'une répartition détaillée soit encore en attente, une analyse préliminaire des chercheurs en sécurité indique un cas classique de manipulation des prix dans un marché à faible liquidité. L'exploitation a visé le cvcrvUSD, une version enveloppante du jeton crvUSD (CRV) de Curve DAO mis en jeu via Convex Finance.
Les analystes affirment que l'attaquant a manipulé le prix de l'action de cvcrvUSD en envoyant de petites donations, ce qui a artificiellement gonflé sa valeur. Comme la formule de taux de change de Resupply reposait sur ce prix gonflé, le système est devenu vulnérable.
L'attaquant a ensuite utilisé le contrat intelligent de Resupply pour emprunter 10 millions de reUSD, le stablecoin natif de la plateforme, avec seulement un wei de cvcrvUSD en garantie. Le reUSD emprunté a été rapidement échangé contre d'autres actifs sur des marchés externes, entraînant une perte nette de près de 9,5 millions de dollars.
Une enquête supplémentaire a révélé que l'attaquant a exploité un wrapper ERC4626 vide qui servait d'oracle de prix dans la paire CurveLend du protocole. Cela a permis au prix de cvcrvUSD de monter en flèche en utilisant seulement deux crvUSD, contournant ainsi les exigences habituelles en matière de garantie.
Cet incident s'ajoute à une tendance croissante des attaques de manipulation des prix en 2025. Des exploits similaires ont récemment affecté des protocoles tels que Meta Pool et l'écosystème GMX/MIM Spell, qui ont tous deux été compromis en raison de vulnérabilités d'oracle et de manipulation de jetons à faible liquidité.
Les mécanismes de tarification faibles et les prêts flash restent des outils courants pour les attaquants, qui continuent de cibler les systèmes DeFi avec des volumes de trading faibles malgré le passage des audits de sécurité des contrats. Resupply n'a pas encore confirmé si les fonds des utilisateurs seront remboursés ou si des efforts de récupération sont en cours.