Resupply втратив $9,5 млн внаслідок зламу

Децентралізований стейблкоїн-протокол Resupply зазнав атаки, внаслідок якої було виведено близько $9,5 млн. За словами фахівців, зловмисник скористався маніпуляцією обмінним курсом.

Resupply has experienced an exploit in the wstUSR market. The affected contract has been identified and paused. Only the wstUSR market was impacted and the protocol continues to function as intended. A full post-mortem will be shared as soon as a complete analysis of the…

— Resupply (@ResupplyFi) June 26, 2025

Resupply працює як стейблкоїн-платформа, що використовує ліквідність і стабільність ринку позик. Ключовим елементом атаки став токен cvcrvUSD — обгорнута версія Curve USD (crvUSD), заблокована у стейкінгу в протоколі Convex Finance.

Згідно з аналізом, зловмисник штучно підвищив ціну cvcrvUSD, надсилаючи пожертви. Смартконтракт Resupply, відомий як ResupplyPair (CurveLend: crvUSD/wstUSR), використав це завищене значення для розрахунків, внаслідок чого курс обвалився.

Після цього атакувальник скористався функцією позики у контракті ResupplyPair, що дозволило йому отримати 10 млн reUSD (нативний стейблкоїн протоколу) під заставу лише одного wei cvcrvUSD.

«Хакер скористався вразливістю в cvcrvUSD-волті, щоб позичити $10 млн у reUSD під заставу в один wei», — пояснив засновник та CEO PeckShield Сюсян Цзян.

Зловмисник обміняв викрадені reUSD на інші активи на сторонніх ринках для отримання прибутку.

Команда Resupply підтвердила факт атаки та повідомила, що злам торкнувся лише ринку wstUSR. Вразливий контракт виявлено та призупинено, решта системи продовжує роботу.

Нагадаємо, у червні правоохоронці Греції виявили частину викрадених у Bybit грошей на одній із місцевих криптобірж.