通過價格操縱，補給協議被利用，損失達950萬美元

攻擊者操縱了代幣價格，以扭曲交易所匯率，從去中心化穩定幣協議Resupply中竊取了約950萬美元。

該漏洞首次於6月25日由安全平台BlockSec Phalcon標記，該平台檢測到一筆可疑交易，導致950萬美元的損失。Resupply協議隨後在X上確認了這一事件，聲稱受影響的智能合約已被暫停，攻擊僅影響了其wstUSR市場。團隊還表示，正在進行徹底的事後分析，核心協議仍在正常運行。

雖然詳細的分解仍在待定中，但安全研究人員的初步分析指向在低流動性市場中的經典價格操縱案例。該漏洞針對的是 cvcrvUSD，這是 Curve DAO 的 (CRV) crvUSD 代幣通過 Convex Finance 質押的一個封裝版本。

分析師表示，攻擊者通過發送小額捐款操縱了cvcrvUSD的股價，這人爲地抬高了其價值。由於Resupply的匯率公式依賴於這個虛高的價格，系統變得脆弱。

攻擊者隨後利用Resupply的智能合約借取了1000萬reUSD，該平台的原生穩定幣，僅用一個wei的cvcrvUSD作爲抵押。借來的reUSD迅速在外部市場上兌換成其他資產，導致淨損失接近950萬美元。

進一步調查顯示，攻擊者利用了一個空的ERC4626包裝器，該包裝器在該協議的CurveLend對中充當價格預言機。這使得cvcrvUSD的價格僅使用兩個crvUSD就飆升，繞過了通常的抵押要求。

這一事件進一步增加了2025年價格操縱攻擊的趨勢。最近，類似的攻擊影響了Meta Pool和GMX/MIM Spell生態系統等協議，這兩個協議都因預言機漏洞和低流動性代幣操縱而受到損害。

薄弱的定價機制和閃電貸款仍然是攻擊者常用的工具，盡管通過了合約安全審計，他們仍繼續針對交易量稀薄的DeFi系統。Resupply尚未確認用戶資金是否會被賠償或恢復工作是否正在進行中。