価格操作によって$9.5Mが悪用された補給プロトコル

攻撃者はトークン価格を操作して取引所のレートを歪め、分散型ステーブルコインプロトコルResupplyから約950万ドルを引き出しました。

この脆弱性は、セキュリティプラットフォームBlockSec Phalconによって6月25日に最初に警告され、950万ドルの損失につながる疑わしい取引が検出されました。Resupplyプロトコルは、発生直後にX上でこの事件を確認し、影響を受けたスマートコントラクトが一時停止され、攻撃はそのwstUSR市場にのみ影響を与えたと主張しました。チームはまた、詳細な事後分析が進行中であり、コアプロトコルは依然として稼働中であると述べました。

詳細な内訳はまだ保留中ですが、安全研究者からの予備分析は、流動性の低い市場における価格操作の古典的なケースを指し示しています。このエクスプロイトは、Curve DAOの(CRV) crvUSDトークンをConvex Financeを通じてステーキングしたwrappedバージョンのcvcrvUSDを標的としました。

アナリストは、攻撃者が小額の寄付を送ることでcvcrvUSDの株価を操作し、その価値を人工的に膨らませたと述べています。Resupplyの取引所の為替レートの公式はこの膨らんだ価格に依存していたため、システムは脆弱になりました。

攻撃者は次に、Resupplyのスマートコントラクトを使用して、プラットフォームのネイティブステーブルコインである10百万reUSDを、わずか1 weiのcvcrvUSDを担保に借りました。借りたreUSDはすぐに外部市場で他の資産にスワップされ、約950万ドルの純損失をもたらしました。

追加の調査により、攻撃者がプロトコルのCurveLendペアで価格オラクルとして機能していた空のERC4626ラッパーを悪用したことが明らかになりました。これにより、通常の担保要件を回避して、わずか2つのcrvUSDを使用してcvcrvUSDの価格が急騰しました。

この事件は、2025年における価格操作攻撃の増加傾向に拍車をかけています。同様の悪用は、Meta PoolやGMX/MIM Spellエコシステムなどのプロトコルにも最近影響を及ぼしており、いずれもオラクルの脆弱性と流動性の低いトークン操作によって侵害されました。

価格メカニズムの弱さとフラッシュローンは、攻撃者にとって一般的な手段であり、契約のセキュリティ監査に合格しても、薄い取引量のDeFiシステムを引き続き標的にしています。リサプライは、ユーザー資金が返金されるか、回収作業が進行中であるかはまだ確認していません。