Seorang penyerang memanipulasi harga koin untuk mendistorsi nilai pertukaran dan menguras sekitar $9,5 juta dari protokol stablecoin terdesentralisasi Resupply.
Eksploitasi ini pertama kali dilaporkan pada 25 Juni oleh platform keamanan BlockSec Phalcon, yang mendeteksi transaksi mencurigakan yang mengakibatkan kerugian sebesar $9,5 juta. Protokol resupply mengonfirmasi insiden tersebut di X tak lama setelahnya, mengklaim bahwa kontrak pintar yang terdampak telah dijeda dan bahwa serangan tersebut hanya memengaruhi pasar wstUSR. Tim juga menyatakan bahwa analisis menyeluruh sedang berlangsung dan bahwa protokol inti masih beroperasi.
Sementara analisis rinci masih ditunggu, analisis awal dari peneliti keamanan menunjukkan adanya kasus klasik manipulasi harga di pasar dengan likuiditas rendah. Eksploitasi ini menargetkan cvcrvUSD, versi terbungkus dari token crvUSD (CRV) milik Curve DAO yang dipertaruhkan melalui Convex Finance.
Para analis mengatakan bahwa penyerang memanipulasi harga saham cvcrvUSD dengan mengirimkan donasi kecil, yang secara artifisial meningkatkan nilainya. Karena rumus tarif pertukaran Resupply bergantung pada harga yang meningkat ini, sistem menjadi rentan.
Penyerang kemudian menggunakan kontrak pintar Resupply untuk meminjam 10 juta reUSD, stablecoin asli platform, hanya dengan satu wei cvcrvUSD sebagai jaminan. reUSD yang dipinjam dengan cepat ditukar menjadi aset lain di pasar eksternal, yang mengakibatkan kerugian bersih hampir $9,5 juta.
Penyelidikan tambahan mengungkapkan bahwa penyerang mengeksploitasi pembungkus ERC4626 kosong yang berfungsi sebagai oracle harga dalam pasangan CurveLend dari protokol. Hal ini memungkinkan harga cvcrvUSD melonjak hanya dengan menggunakan dua crvUSD, melewati persyaratan jaminan yang biasa.
Kejadian ini menambah tren yang berkembang dari serangan manipulasi harga pada tahun 2025. Eksploitasi serupa baru-baru ini mempengaruhi protokol seperti Meta Pool dan ekosistem GMX/MIM Spell, yang keduanya telah terkompromikan akibat kerentanan oracle dan manipulasi koin dengan likuiditas rendah.
Mekanisme penetapan harga yang lemah dan pinjaman kilat tetap menjadi alat umum bagi para penyerang, yang terus menargetkan sistem DeFi dengan volume perdagangan yang tipis meskipun telah melewati audit keamanan kontrak. Resupply belum mengonfirmasi apakah dana pengguna akan diganti rugi atau apakah upaya pemulihan sedang dilakukan.
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Protokol pasokan ulang dieksploitasi untuk $9,5 juta melalui manipulasi harga
Seorang penyerang memanipulasi harga koin untuk mendistorsi nilai pertukaran dan menguras sekitar $9,5 juta dari protokol stablecoin terdesentralisasi Resupply.
Eksploitasi ini pertama kali dilaporkan pada 25 Juni oleh platform keamanan BlockSec Phalcon, yang mendeteksi transaksi mencurigakan yang mengakibatkan kerugian sebesar $9,5 juta. Protokol resupply mengonfirmasi insiden tersebut di X tak lama setelahnya, mengklaim bahwa kontrak pintar yang terdampak telah dijeda dan bahwa serangan tersebut hanya memengaruhi pasar wstUSR. Tim juga menyatakan bahwa analisis menyeluruh sedang berlangsung dan bahwa protokol inti masih beroperasi.
Sementara analisis rinci masih ditunggu, analisis awal dari peneliti keamanan menunjukkan adanya kasus klasik manipulasi harga di pasar dengan likuiditas rendah. Eksploitasi ini menargetkan cvcrvUSD, versi terbungkus dari token crvUSD (CRV) milik Curve DAO yang dipertaruhkan melalui Convex Finance.
Para analis mengatakan bahwa penyerang memanipulasi harga saham cvcrvUSD dengan mengirimkan donasi kecil, yang secara artifisial meningkatkan nilainya. Karena rumus tarif pertukaran Resupply bergantung pada harga yang meningkat ini, sistem menjadi rentan.
Penyerang kemudian menggunakan kontrak pintar Resupply untuk meminjam 10 juta reUSD, stablecoin asli platform, hanya dengan satu wei cvcrvUSD sebagai jaminan. reUSD yang dipinjam dengan cepat ditukar menjadi aset lain di pasar eksternal, yang mengakibatkan kerugian bersih hampir $9,5 juta.
Penyelidikan tambahan mengungkapkan bahwa penyerang mengeksploitasi pembungkus ERC4626 kosong yang berfungsi sebagai oracle harga dalam pasangan CurveLend dari protokol. Hal ini memungkinkan harga cvcrvUSD melonjak hanya dengan menggunakan dua crvUSD, melewati persyaratan jaminan yang biasa.
Kejadian ini menambah tren yang berkembang dari serangan manipulasi harga pada tahun 2025. Eksploitasi serupa baru-baru ini mempengaruhi protokol seperti Meta Pool dan ekosistem GMX/MIM Spell, yang keduanya telah terkompromikan akibat kerentanan oracle dan manipulasi koin dengan likuiditas rendah.
Mekanisme penetapan harga yang lemah dan pinjaman kilat tetap menjadi alat umum bagi para penyerang, yang terus menargetkan sistem DeFi dengan volume perdagangan yang tipis meskipun telah melewati audit keamanan kontrak. Resupply belum mengonfirmasi apakah dana pengguna akan diganti rugi atau apakah upaya pemulihan sedang dilakukan.