通过价格操纵，补给协议被利用，损失达950万美元

攻击者操纵了代币价格，以扭曲交易所汇率，从去中心化稳定币协议Resupply中窃取了约950万美元。

该漏洞首次于6月25日由安全平台BlockSec Phalcon标记，该平台检测到一笔可疑交易，导致950万美元的损失。Resupply协议随后在X上确认了这一事件，声称受影响的智能合约已被暂停，攻击仅影响了其wstUSR市场。团队还表示，正在进行彻底的事后分析，核心协议仍在正常运行。

虽然详细的分解仍在待定中，但安全研究人员的初步分析指向在低流动性市场中的经典价格操纵案例。该漏洞针对的是 cvcrvUSD，这是 Curve DAO 的 (CRV) crvUSD 代币通过 Convex Finance 质押的一个封装版本。

分析师表示，攻击者通过发送小额捐款操纵了cvcrvUSD的股价，这人为地抬高了其价值。由于Resupply的汇率公式依赖于这个虚高的价格，系统变得脆弱。

攻击者随后利用Resupply的智能合约借取了1000万reUSD，该平台的原生稳定币，仅用一个wei的cvcrvUSD作为抵押。借来的reUSD迅速在外部市场上兑换成其他资产，导致净损失接近950万美元。

进一步调查显示，攻击者利用了一个空的ERC4626包装器，该包装器在该协议的CurveLend对中充当价格预言机。这使得cvcrvUSD的价格仅使用两个crvUSD就飙升，绕过了通常的抵押要求。

这一事件进一步增加了2025年价格操纵攻击的趋势。最近，类似的攻击影响了Meta Pool和GMX/MIM Spell生态系统等协议，这两个协议都因预言机漏洞和低流动性代币操纵而受到损害。

薄弱的定价机制和闪电贷款仍然是攻击者常用的工具，尽管通过了合约安全审计，他们仍继续针对交易量稀薄的DeFi系统。Resupply尚未确认用户资金是否会被赔偿或恢复工作是否正在进行中。