Một kẻ tấn công đã thao túng giá token để làm sai lệch tỷ lệ sàn giao dịch và rút khoảng 9,5 triệu đô la từ giao thức Stablecoin phi tập trung Resupply.
Lỗ hổng này lần đầu tiên được phát hiện vào ngày 25 tháng 6 bởi nền tảng bảo mật BlockSec Phalcon, đơn vị đã phát hiện một giao dịch nghi ngờ dẫn đến khoản lỗ 9,5 triệu đô la. Giao thức cung cấp lại đã xác nhận sự cố trên X ngay sau đó, khẳng định rằng hợp đồng thông minh bị ảnh hưởng đã bị tạm dừng và rằng cuộc tấn công chỉ ảnh hưởng đến thị trường wstUSR của nó. Nhóm cũng cho biết rằng một cuộc điều tra kỹ lưỡng đang diễn ra và rằng giao thức cốt lõi vẫn đang hoạt động.
Mặc dù một phân tích chi tiết vẫn đang chờ xử lý, nhưng phân tích sơ bộ từ các nhà nghiên cứu an ninh chỉ ra một trường hợp điển hình của việc thao túng giá trong một thị trường có tính thanh khoản thấp. Cuộc tấn công nhắm vào cvcrvUSD, một phiên bản bọc của token crvUSD (CRV) của Curve DAO được staking thông qua Convex Finance.
Các nhà phân tích cho biết kẻ tấn công đã thao túng giá cổ phiếu của cvcrvUSD bằng cách gửi các khoản quyên góp nhỏ, điều này đã làm tăng giá trị của nó một cách nhân tạo. Bởi vì công thức tỷ giá của sàn giao dịch Resupply dựa vào giá trị bị thổi phồng này, hệ thống đã trở nên dễ bị tổn thương.
Kẻ tấn công sau đó đã sử dụng giao thức thông minh của Resupply để vay 10 triệu reUSD, Stablecoin bản địa của nền tảng, chỉ với một wei cvcrvUSD làm tài sản thế chấp. Số reUSD đã vay nhanh chóng được hoán đổi thành các tài sản khác trên các thị trường bên ngoài, dẫn đến khoản lỗ ròng gần 9,5 triệu đô la.
Cuộc điều tra bổ sung đã tiết lộ rằng kẻ tấn công đã khai thác một wrapper ERC4626 trống đang phục vụ như một oracle giá trong cặp CurveLend của giao thức. Điều này đã cho phép giá của cvcrvUSD tăng vọt chỉ bằng hai crvUSD, bỏ qua các yêu cầu về tài sản đảm bảo thông thường.
Sự cố này thêm vào xu hướng ngày càng gia tăng của các cuộc tấn công thao túng giá trong năm 2025. Các lỗ hổng tương tự gần đây đã ảnh hưởng đến các giao thức như Meta Pool và hệ sinh thái GMX/MIM Spell, cả hai đều bị xâm phạm do các lỗ hổng oracle và thao túng token có thanh khoản thấp.
Cơ chế định giá yếu và các khoản vay chớp nhoáng vẫn là những công cụ phổ biến cho các kẻ tấn công, những người tiếp tục nhắm mục tiêu vào các hệ thống DeFi với khối lượng giao dịch mỏng mặc dù đã vượt qua các cuộc kiểm toán bảo mật hợp đồng. Resupply vẫn chưa xác nhận liệu quỹ của người dùng có được hoàn lại hay không hoặc nếu các nỗ lực phục hồi đang diễn ra.
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Giao thức cung cấp lại bị khai thác với 9,5 triệu đô la thông qua việc thao túng giá
Một kẻ tấn công đã thao túng giá token để làm sai lệch tỷ lệ sàn giao dịch và rút khoảng 9,5 triệu đô la từ giao thức Stablecoin phi tập trung Resupply.
Lỗ hổng này lần đầu tiên được phát hiện vào ngày 25 tháng 6 bởi nền tảng bảo mật BlockSec Phalcon, đơn vị đã phát hiện một giao dịch nghi ngờ dẫn đến khoản lỗ 9,5 triệu đô la. Giao thức cung cấp lại đã xác nhận sự cố trên X ngay sau đó, khẳng định rằng hợp đồng thông minh bị ảnh hưởng đã bị tạm dừng và rằng cuộc tấn công chỉ ảnh hưởng đến thị trường wstUSR của nó. Nhóm cũng cho biết rằng một cuộc điều tra kỹ lưỡng đang diễn ra và rằng giao thức cốt lõi vẫn đang hoạt động.
Mặc dù một phân tích chi tiết vẫn đang chờ xử lý, nhưng phân tích sơ bộ từ các nhà nghiên cứu an ninh chỉ ra một trường hợp điển hình của việc thao túng giá trong một thị trường có tính thanh khoản thấp. Cuộc tấn công nhắm vào cvcrvUSD, một phiên bản bọc của token crvUSD (CRV) của Curve DAO được staking thông qua Convex Finance.
Các nhà phân tích cho biết kẻ tấn công đã thao túng giá cổ phiếu của cvcrvUSD bằng cách gửi các khoản quyên góp nhỏ, điều này đã làm tăng giá trị của nó một cách nhân tạo. Bởi vì công thức tỷ giá của sàn giao dịch Resupply dựa vào giá trị bị thổi phồng này, hệ thống đã trở nên dễ bị tổn thương.
Kẻ tấn công sau đó đã sử dụng giao thức thông minh của Resupply để vay 10 triệu reUSD, Stablecoin bản địa của nền tảng, chỉ với một wei cvcrvUSD làm tài sản thế chấp. Số reUSD đã vay nhanh chóng được hoán đổi thành các tài sản khác trên các thị trường bên ngoài, dẫn đến khoản lỗ ròng gần 9,5 triệu đô la.
Cuộc điều tra bổ sung đã tiết lộ rằng kẻ tấn công đã khai thác một wrapper ERC4626 trống đang phục vụ như một oracle giá trong cặp CurveLend của giao thức. Điều này đã cho phép giá của cvcrvUSD tăng vọt chỉ bằng hai crvUSD, bỏ qua các yêu cầu về tài sản đảm bảo thông thường.
Sự cố này thêm vào xu hướng ngày càng gia tăng của các cuộc tấn công thao túng giá trong năm 2025. Các lỗ hổng tương tự gần đây đã ảnh hưởng đến các giao thức như Meta Pool và hệ sinh thái GMX/MIM Spell, cả hai đều bị xâm phạm do các lỗ hổng oracle và thao túng token có thanh khoản thấp.
Cơ chế định giá yếu và các khoản vay chớp nhoáng vẫn là những công cụ phổ biến cho các kẻ tấn công, những người tiếp tục nhắm mục tiêu vào các hệ thống DeFi với khối lượng giao dịch mỏng mặc dù đã vượt qua các cuộc kiểm toán bảo mật hợp đồng. Resupply vẫn chưa xác nhận liệu quỹ của người dùng có được hoàn lại hay không hoặc nếu các nỗ lực phục hồi đang diễn ra.