" Протокол децентрализованного финансирования (DeFi) Resupply подтвердил нарушение безопасности на своем рынке wstUSR, что привело к потере криптовалюты на сумму около $9,6 млн.
Компания по безопасности блокчейнов Cyvers заявила в четверг, что эксплоит стал результатом атаки манипулирования ценами, включавшей интеграцию протокола с синтетическим стейблкоином cvcrvUSD.
Мейр Долев, соучредитель и главный технический директор Cyvers, сообщил, что злоумышленник воспользовался ошибкой манипулирования ценами в контракте ResupplyPair.
«Завышая цену акций, они заняли $10 млн reUSD, используя минимальное обеспечение», — сказал Долев.
Cyvers сообщила в своем посте, что злоумышленник получил финансирование через Tornado Cash, а украденные средства были переведены в Ethereum и распределены между двумя адресами.
Источник: Cyvers.
Resupply приостанавливает затронутые контракты в ответ на атаку
Инцидент подчеркивает текущие проблемы безопасности в протоколах DeFi, особенно тех, которые работают с синтетическими активами и механизмами, зависящими от оракулов.
Долев рассказал, что несколько мер безопасности могли бы предотвратить атаку, включая проверку входных данных, контроль оракулов и тестирование пограничных случаев.
На вопрос о том, как протоколы могут избежать подобных взломов, эксперт по безопасности отметил, что добавление проверок в логику кредитования и мониторинг аномалий в реальном времени могло бы помочь.
В ответ на эксплоит Resupply признал инцидент в своем заявлении. Компания подтвердила, что пострадал только рынок wstUSR. Протокол DeFi заявил, что затронутые контракты уже приостановлены, чтобы предотвратить дальнейший ущерб.
«Полный отчет будет опубликован после завершения детального анализа ситуации», — написала команда.
Источник: ResupplyFi.
Потери от взломов криптовалют достигли $2,1 млрд в 2025 году
Эксплоит манипулирования ценами в Resupply произошел на фоне того, что убытки от взломов в этом году уже исчисляются миллиардами.
4 июня компания по криптобезопасности CertiK сообщила, что в 2025 году в результате взломов и эксплоитов было похищено более $2,1 млрд. CertiK также отметила, что хакеры начали переходить к тактикам социальной инженерии.
Тем временем платформа смарт-контрактов Fuzzland недавно заявила, что бывший сотрудник стоял за эксплоитом Bedrock UniBTC на сумму $2 млн в 2024 году.
Платформа сообщила, что инсайдер использовал методы социальной инженерии, атаки на цепочку поставок и продвинутые техники постоянных угроз для кражи конфиденциальных данных, примененных в эксплоите.
