Un hacker identificó una falla en el protocolo de finanzas descentralizadas (DeFi) de Resupply a principios del jueves que le ayudó a desviar casi $9.6 millones en activos digitales. El atacante manipuló los precios de los tokens a través de una vulnerabilidad en el contrato inteligente.
Según analistas de seguridad blockchain, Resupply, una plataforma de stablecoin DeFi integrada con Convex Finance y Yearn Finance, fue el principal objetivo de la explotación. El atacante utilizó una elaborada táctica de manipulación de precios en cvcrvUSD, un token vinculado a Convex, para engañar al sistema y obtener un préstamo utilizando colateral prácticamente sin valor.
Un error en el contrato inteligente lleva a una tasa de cambio cero
El punto principal de la brecha se encontró en el contrato ResupplyPair, desplegado el jueves en la dirección de Ethereum “0x6e…6bd6″. El contrato utilizó el precio de cvcrvUSD para calcular una tasa de cambio interna para el préstamo colateralizado.
¡Otro protocolo de préstamos explotado a través de la manipulación de la tasa de cambio en mercados de baja liquidez—¡incluso vacíos!
Específicamente, los atacantes inflaron artificialmente el precio de la acción de #cvcrvUSD a través de donaciones. El contrato ResupplyPair de @ResupplyFi (https://t.co/yo2N5lScHi, creado hace ~2h) utiliza… https://t.co/MelEYFLr98 pic.twitter.com/2qXC9IiREL
— BlockSec Phalcon (@Phalcon_xyz) 26 de junio de 2025
El atacante utilizó esta dependencia inflando artificialmente el precio del token cvcrvUSD a través de transacciones de donación coordinadas. Cuando el valor del token se disparó, el precio introducido en el contrato ResupplyPair se disparó.
Sin embargo, una falla en el código del protocolo, específicamente el uso de la división entera, provocó que la tasa de cambio se redondeara a cero una vez que el precio superó un umbral medido.
Con la tasa de cambio establecida en cero, el atacante pudo pedir prestada una enorme cantidad de la stablecoin nativa de Resupply, reUSD, usando solo 1 wei de cvcrvUSD como colateral. Los cheques de insolvencia de la plataforma, que dependen de esta tasa de cambio, fueron efectivamente eludidos.
“El atacante manipuló los precios de los tokens, activando un error (tasa de cambio cero) en el contrato inteligente de Resupply, permitiéndoles pedir prestada una gran cantidad de dinero por casi nada”, explicó Hakan Unal, líder de operaciones de seguridad senior en la firma de riesgo blockchain Cyvers.
Tornado Cash utilizado para la anonimidad de transacciones
La actividad en la blockchain muestra que el hacker inicialmente financió su billetera a través de Tornado Cash, un mezclador de protocolo de privacidad descentralizado que los criminales utilizan para ocultar el origen de los fondos. El punto de entrada del ataque fue una transacción en Cow Swap que involucró 2 ETH, según un análisis de la firma de seguridad blockchain PeckShield.
Después de la brecha, liquidaron los activos robados convirtiendo reUSD en stablecoins y Ethereum a través de Curve y Uniswap, ambos intercambios descentralizados.
Los $9.6 millones en ganancias se dividieron entre dos direcciones de Ethereum separadas. El atacante utilizó tanto USDC como Ethereum envuelto (wETH) para almacenar los ingresos finales.
Más tarde en el día, Resupply confirmó la brecha y admitió que la explotación había afectado su mercado de wstUSR. La plataforma inmediatamente pausó todos los contratos para prevenir más daños.
“Los usuarios deben evitar los vaults de reUSD y retirar fondos si es posible”, aconsejó Unal a los inversores que utilizan el protocolo.
Los hackeos relacionados con criptomonedas en 2025 se vuelven rampantes
La brecha de Resupply se suma a una serie de hackeos de alto valor que apuntan tanto a las finanzas descentralizadas como a las plataformas centralizadas. La firma forense blockchain Chainalysis informa que ya se han robado más de $2.3 mil millones en hackeos criptográficos desde el comienzo de 2025, una cifra que supera el total del año pasado a mediados de año.
Solo días antes del incidente de Resupply, el 18 de junio, el intercambio de criptomonedas con sede en Irán, Nobitex, sufrió una devastadora brecha. Los hackers se llevaron más de $90 millones en activos digitales de varias blockchains, incluyendo Bitcoin, Ethereum, Dogecoin, Ripple, Solana, Tron y Ton.
Investigaciones anteriores han vinculado billeteras en Nobitex a actores afiliados con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC), y redes vinculadas a rebeldes hutíes en Yemen y operativos de Hamas.
La Oficina Nacional de Contrarrestar la Financiación del Terrorismo (NBCTF) de Israel ha identificado la plataforma como un conducto para fondos a varias entidades sancionadas. Estas incluyen el medio pro-Hamas Gaza Now, un supuesto brazo de propaganda de al-Qaeda, y los intercambios de criptomonedas rusos sancionados Garantex y Bitpapa.
Cryptopolitan Academy: ¿Quieres hacer crecer tu dinero en 2025? Aprende cómo hacerlo con DeFi en nuestra próxima clase web. Reserva tu lugar
