Протокол стейблкоинов Resupply подвергся масштабной атаке, в результате которой было утрачено около $9,5 млн. Хакеру удалось воспользоваться критической уязвимостью в смарт-контракте, связанной с некорректным расчётом цены токена cvcrvUSD — застейканной версии crvUSD из экосистемы Convex Finance.
Как сообщила команда проекта, инцидент был официально подтверждён. Уязвимый контракт уже идентифицирован и временно приостановлен для предотвращения дальнейших потерь.
Атака заключалась в искусственном завышении стоимости cvcrvUSD. Злоумышленник совершил несколько «пожертвований» в пул актива, что привело к резкому искажению его рыночной оценки. В результате система начала использовать заведомо ложную цену при внутренних расчётах.
Согласно данным блок-эксплорера OKX, смарт-контракт Resupply брал значение цены cvcrvUSD из компрометированного пула. Это позволило злоумышленнику взять в долг 10 миллионов токенов reUSD, используя минимальный залог — всего 1 wei (наименьшая единица Эфириума) cvcrvUSD. Таким образом, хакер получил доступ к крупной сумме средств без реального обеспечения.
По информации специалистов BlockSec, похищенные средства были выведены через рынок wstETH и конвертированы в другие цифровые активы на сторонних площадках, чтобы затруднить их отслеживание и вернуть выгоду в ликвидной форме.
