Um atacante manipulou os preços dos tokens para distorcer as taxas de câmbio e drenar cerca de 9,5 milhões de dólares do protocolo de moeda estável descentralizado Resupply.
A exploração foi sinalizada pela primeira vez em 25 de junho pela plataforma de segurança BlockSec Phalcon, que detectou uma transação suspeita levando a uma perda de 9,5 milhões de dólares. O protocolo de reabastecimento confirmou o incidente no X logo a seguir, afirmando que o contrato inteligente afetado havia sido pausado e que o ataque afetou apenas o seu mercado wstUSR. A equipe também afirmou que uma análise pós-morte completa está em andamento e que o protocolo principal ainda está operacional.
Embora uma análise detalhada ainda esteja pendente, a análise preliminar de pesquisadores de segurança aponta para um caso clássico de manipulação de preços dentro de um mercado de baixa liquidez. O exploit visou o cvcrvUSD, uma versão embrulhada do token crvUSD da Curve DAO (CRV) apostado através da Convex Finance.
Os analistas dizem que o atacante manipulou o preço das ações do cvcrvUSD enviando pequenas doações, o que inflacionou artificialmente o seu valor. Como a fórmula da taxa de câmbio da Resupply dependia deste preço inflacionado, o sistema tornou-se vulnerável.
O atacante então usou o contrato inteligente da Resupply para emprestar 10 milhões de reUSD, a moeda estável nativa da plataforma, com apenas um wei de cvcrvUSD como garantia. O reUSD emprestado foi rapidamente trocado por outros ativos em mercados externos, resultando em uma perda líquida de quase $9,5 milhões.
Investigação adicional revelou que o atacante explorou um wrapper ERC4626 vazio que estava a servir como um oráculo de preços no par CurveLend do protocolo. Isso permitiu que o preço do cvcrvUSD disparasse usando apenas dois crvUSD, contornando os requisitos habituais de colateral.
Este incidente adiciona-se a uma tendência crescente de ataques de manipulação de preços em 2025. Explorações semelhantes afetaram recentemente protocolos como o Meta Pool e o ecossistema GMX/MIM Spell, que foram ambos comprometidos devido a vulnerabilidades de oracle e manipulação de tokens com baixa liquidez.
Mecanismos de preços fracos e empréstimos relâmpago continuam a ser ferramentas comuns para atacantes, que continuam a direcionar sistemas DeFi com volumes de negociação baixos, apesar de terem passado por auditorias de segurança de contratos. A Resupply ainda não confirmou se os fundos dos usuários serão reembolsados ou se os esforços de recuperação estão em andamento.
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
Protocolo de reabastecimento explorado por $9.5M através de manipulação de preços
Um atacante manipulou os preços dos tokens para distorcer as taxas de câmbio e drenar cerca de 9,5 milhões de dólares do protocolo de moeda estável descentralizado Resupply.
A exploração foi sinalizada pela primeira vez em 25 de junho pela plataforma de segurança BlockSec Phalcon, que detectou uma transação suspeita levando a uma perda de 9,5 milhões de dólares. O protocolo de reabastecimento confirmou o incidente no X logo a seguir, afirmando que o contrato inteligente afetado havia sido pausado e que o ataque afetou apenas o seu mercado wstUSR. A equipe também afirmou que uma análise pós-morte completa está em andamento e que o protocolo principal ainda está operacional.
Embora uma análise detalhada ainda esteja pendente, a análise preliminar de pesquisadores de segurança aponta para um caso clássico de manipulação de preços dentro de um mercado de baixa liquidez. O exploit visou o cvcrvUSD, uma versão embrulhada do token crvUSD da Curve DAO (CRV) apostado através da Convex Finance.
Os analistas dizem que o atacante manipulou o preço das ações do cvcrvUSD enviando pequenas doações, o que inflacionou artificialmente o seu valor. Como a fórmula da taxa de câmbio da Resupply dependia deste preço inflacionado, o sistema tornou-se vulnerável.
O atacante então usou o contrato inteligente da Resupply para emprestar 10 milhões de reUSD, a moeda estável nativa da plataforma, com apenas um wei de cvcrvUSD como garantia. O reUSD emprestado foi rapidamente trocado por outros ativos em mercados externos, resultando em uma perda líquida de quase $9,5 milhões.
Investigação adicional revelou que o atacante explorou um wrapper ERC4626 vazio que estava a servir como um oráculo de preços no par CurveLend do protocolo. Isso permitiu que o preço do cvcrvUSD disparasse usando apenas dois crvUSD, contornando os requisitos habituais de colateral.
Este incidente adiciona-se a uma tendência crescente de ataques de manipulação de preços em 2025. Explorações semelhantes afetaram recentemente protocolos como o Meta Pool e o ecossistema GMX/MIM Spell, que foram ambos comprometidos devido a vulnerabilidades de oracle e manipulação de tokens com baixa liquidez.
Mecanismos de preços fracos e empréstimos relâmpago continuam a ser ferramentas comuns para atacantes, que continuam a direcionar sistemas DeFi com volumes de negociação baixos, apesar de terem passado por auditorias de segurança de contratos. A Resupply ainda não confirmou se os fundos dos usuários serão reembolsados ou se os esforços de recuperação estão em andamento.