Децентрализованный протокол стабильной монеты Resupply, связанный с проектами Convex Finance и Yearn Finance, стал жертвой крупного эксплойта на сумму $9,5 миллионов. Хакер искусственно раздул цену залогового токена cvcrvUSD (обёрнутой версии Curve USD), используя «донаты» на крайне ликвидном рынке, что вызвало сбой в логике расчёта обменного курса в смарт-контракте CurveLend, применяемом в ResupplyPair.
Злоумышленник воспользовался уязвимостью, позволившей взять взаймы огромный объем native stablecoin протокола – reUSD – под почти нулевой залог (около одного wei токена cvcrvUSD), полностью обходя проверку платёжеспособности. Впоследствии взятые токены reUSD были быстро обменяны на USDC и WETH через Curve и Uniswap.
Платформа мгновенно приостановила работу пострадавшего контракта и начала расследование инцидента, обещая опубликовать подробный постмортем анализа ситуации.
Аналитики BlockSec и CertiK подробно описали цепочку событий: начиная с флешлон-сделки на $4 тыс. USDC, дальнейшим раздуванием цены и последующим массовым выводом средств, которые через Tornado Cash были замешаны для анонимизации.
На фоне роста числа подобных атак в криптоэкосистеме в 2025 году, а также крупных потерь на централизованных биржах (Bybit, Phemex), инцидент с Resupply демонстрирует сохраняющийся риск манипуляций и ошибок в протоколах DeFi.
ZKP
MUTM
USDT
SOL
XRP
ADA
GEE