Nền tảng stablecoin Resupply đã chịu thiệt hại lớn lên tới 9,5 triệu đô la sau khi một kẻ tấn công thao túng giá của một token thế chấp chính, các công ty an ninh báo cáo.

Điểm chính:

  • Resupply đã mất 9,5 triệu đô la sau khi một kẻ tấn công thao túng giá cvcrvUSD để vay reUSD với giá rẻ.

  • Lỗ hổng đã khai thác logic giá cả sai sót trong hợp đồng CurveLend được sử dụng bởi ResupplyPair.

  • Resupply đã tạm dừng hợp đồng bị ảnh hưởng và đang điều tra vụ vi phạm, với một báo cáo đầy đủ vẫn đang chờ xử lý.

Cuộc tấn công nhắm vào cvcrvUSD, một phiên bản wrapped của Curve USD (crvUSD) đã được stake trên Convex Finance. Bằng cách gửi quyên góp vào kho cvcrvUSD, kẻ tấn công đã thổi phồng giá cổ phiếu của token.

Giá bị thổi phồng này sau đó đã được sử dụng làm tài sản thế chấp để vay stablecoin gốc của Resupply, reUSD, với tỷ giá hối đoái cực kỳ thuận lợi.

Khai thác Resupply liên quan đến nguồn cung giá bị thao túng trong hợp đồng CurveLend

Hợp đồng thông minh Resupply có liên quan, ResupplyPair (CurveLend: crvUSD/wstUSR), đã sử dụng giá cvcrvUSD bị thao túng trong các tính toán của nó.

Khi kẻ tấn công đã vay reUSD, tỷ giá hối đoái bị thao túng đã sụp đổ, dẫn đến sự giảm giá lớn của dự trữ của giao thức.

Các nhà phân tích tại Blocksec ghi nhận rằng kẻ tấn công chủ yếu đã rút tiền từ thị trường wstUSR bằng cách khai thác logic giá cả sai sót trong chức năng vay.

reUSD bị đánh cắp sau đó đã nhanh chóng được chuyển đổi thành các tài sản crypto khác trên các thị trường bên ngoài.

“Kết quả là, kẻ tấn công đã vay một lượng lớn reUSD chỉ với 1 wei cvcrvUSD làm tài sản thế chấp, vượt qua kiểm tra khả năng thanh toán,” Blocksec viết trên X.

Resupply đã thừa nhận vụ vi phạm trong một tuyên bố và xác nhận hợp đồng bị xâm phạm đã được tạm dừng. Nhóm đang điều tra sự cố và chưa xác nhận bất kỳ kế hoạch phục hồi nào.

“Một báo cáo đầy đủ sẽ được chia sẻ ngay khi hoàn tất phân tích tình hình,” nhóm viết.

Resupply sẽ không đăng bất kỳ liên kết nào sau tweet này. Các liên kết bên dưới tweet này có vẻ như là của Resupply là spam, giả mạo hoặc liên kết lừa đảo. Không nhấp vào bất kỳ liên kết nào dưới tweet này. pic.twitter.com/FExOvng40U

— Resupply (@ResupplyFi) ngày 26 tháng 6 năm 2025

Fuzzland tiết lộ vụ khai thác 2 triệu đô la vào giao thức UniBTC của Bedrock

Vào thứ Tư, Fuzzland đã tiết lộ rằng một vụ khai thác 2 triệu đô la nhắm vào giao thức UniBTC của Bedrock vào tháng 9 năm 2024 đã được thực hiện bởi một cựu nhân viên giả làm nhà phát triển MEV.

Kẻ tấn công đã sử dụng kỹ thuật xã hội, chèn mã độc thông qua một gói Rust bị trojan hóa, và duy trì quyền truy cập không bị phát hiện vào các hệ thống kỹ thuật trong hơn ba tuần.

Vụ vi phạm đã dẫn đến việc giao thức UniBTC bị khai thác ngay sau khi Fuzzland thảo luận về một lỗ hổng bảo mật.

Đáng chú ý, trong ba tháng đầu năm 2025, hệ sinh thái crypto đã mất tới 1.635.933.800 đô la qua 39 sự cố, theo nền tảng bảo mật blockchain Immunefi.

Hầu hết số đó là kết quả của chỉ hai vụ hack của hai sàn giao dịch tập trung. Phemex đã chịu thiệt hại 69,1 triệu đô la vào tháng 1, trong khi Bybit đã mất 1,46 tỷ đô la vào tháng 2.

Sau đó, tổng số thiệt hại trong quý đầu tiên đánh dấu mức tăng 4,7 lần so với Q1 năm 2024. Vào thời điểm đó, các hacker và kẻ lừa đảo đã đánh cắp 348.251.217 đô la.

Đáng chú ý, các chuyên gia cho rằng Nhóm Lazarus khét tiếng của Triều Tiên đứng sau hai vụ tấn công lớn nhất. Họ đã đánh cắp 1,52 tỷ đô la, tương đương 94% tổng thiệt hại.

Bài viết 'Nền tảng giao thức Stablecoin Resupply bị khai thác 9,5 triệu đô la sau khi kẻ tấn công thổi phồng giá token' xuất hiện lần đầu trên Cryptonews.