一名黑客成功从 Resupply 窃取了 960 万美元。Resupply 是一个与主要 DeFi 参与者 Convex Finance 和 Yearn Finance 有关的去中心化稳定币协议。黑客通过操纵代币价格,利用该平台的一个关键漏洞,在汇率计算中实施了盗窃行为。
攻击者通过定向“捐赠”的方式,人为抬高了 cvcrvUSD(Curve Vault 的 CurveUSD 代币)的价格,并将其投放到交易量极低的市场。随后,他们利用这一操纵价格,仅用 1wei 的抵押品就借入了价值近 1000 万美元的 reUSD 代币。区块链安全公司 Phalcon.
此次攻击是一系列重大加密安全漏洞中的最新一起,这些漏洞今年已给该行业造成超过 21 亿美元的损失,表明尽管安全意识不断增强,但去中心化金融协议仍然存在漏洞。
Cyvers 高级安全运营主管 Hakan Unal 表示:“攻击者操纵了代币价格,触发了 Resupply 智能合约中的一个漏洞(零汇率),让他们几乎不费吹灰之力就借到了一大笔钱。”解密.
这种零汇率使得攻击者可以完全绕过偿付能力检查,并以极少的抵押品借入巨额资金。
在获得贷款后,他们迅速通过 Curve 和 Uniswap 将代币兑换成 USDC 并包装以太坊,从而产生了 950 万美元的利润。
Unal 建议:“用户应避免使用 reUSD 金库并尽可能提取资金。”
PeckShield 的附加分析揭示了攻击的切入点:Cow Swap 上的一笔涉及 2 ETH 的交易,随后通过匿名硬币混合器 Tornado Cash为了匿名。
Cow Swap 是一个去中心化交易所,允许用户在交易加密货币时无需预先设置抢先交易保护。攻击者最终从该协议中窃取了约 1,581 ETH。
“Resupply 在 wstUSR 市场遭遇了攻击,”该平台确认违规行为通过其官方X账户。“受影响的合约已被识别并暂停。只有wstUSR市场受到影响,协议继续按预期运行。”
该平台宣布已暂停受影响的市场,同时维持其他市场的正常运营,并承诺“在对情况进行全面分析后,将立即分享完整的事后分析”。
CertiK已报道攻击者将大约 556 万美元转移到一个地址,将 400 万美元转移到另一个地址,将被盗资金集中到两个钱包中,两个钱包分别包含 2.2K ETH 和 1.6K ETH。
Resupply 漏洞延续了今年令人不安的重大加密漏洞模式。
就在一周多前,伊朗加密货币交易所Nobitex 遭遇 4900 万美元的违规行为据称是亲以色列黑客组织“Gonjeshke Darande”所为。
该组织使用具有挑衅性名称的钱包地址并有效地销毁了被盗资金,以发表政治声明,而不是从盗窃中获利。
编辑史黛西·艾略特.