Einführung in den Exploit der Stablecoin-Plattform Resupply
Die Stablecoin-Plattform Resupply wurde Opfer eines erheblichen Exploits im Wert von 9,5 Millionen Dollar, nachdem ein Angreifer den Preis eines wichtigen Sicherheiten-Tokens manipulierte, wie Sicherheitsfirmen berichteten. Der Angriff richtete sich gegen cvcrvUSD, eine verpackte Version von Curve USD (crvUSD), die auf Convex Finance gestaked ist.
Details des Angriffs
Der Angreifer blähte den Anteilspreis des Tokens auf, indem er Spenden an das cvcrvUSD-Vault sendete. Dieser aufgeblähte Preis wurde dann als Sicherheit verwendet, um Resupplies hauseigenen Stablecoin, reUSD, zu einem äußerst vorteilhaften Wechselkurs zu leihen.
Der Exploit war mit einem manipulierten Preisfeed im CurveLend-Vertrag verbunden. Der betroffene Resupply-Smart-Contract, ResupplyPair (CurveLend: crvUSD/wstUSR), verwendete den manipulierten cvcrvUSD-Preis in seinen Berechnungen. Sobald der Angreifer das reUSD geliehen hatte, brach der manipulierte Wechselkurs zusammen, was zu einer erheblichen Abwertung der Reserven des Protokolls führte.
Analysten von Blocksec stellten fest, dass der Angreifer hauptsächlich Gelder aus dem wstUSR-Markt abzog, indem er die fehlerhafte Preislogik in der Leihfunktion ausnutzte. Das gestohlene reUSD wurde dann schnell in andere Krypto-Assets auf externen Märkten umgewandelt.
„Infolgedessen lieh sich der Angreifer massive Mengen an reUSD mit nur 1 wei von cvcrvUSD als Sicherheit und umging die Insolvenzprüfung“, schrieb Blocksec auf X.
Reaktionen und Folgen
Resupply bestätigte den Vorfall in einer Erklärung und gab bekannt, dass der kompromittierte Vertrag pausiert wurde. Das Team untersucht den Vorfall und hat noch keine Wiederherstellungspläne veröffentlicht. „Ein vollständiger Nachbericht wird geteilt, sobald eine umfassende Analyse der Situation durchgeführt wurde“, erklärte das Team.
Zusätzliche Sicherheitsvorfälle im Krypto-Ökosystem
Fuzzland enthüllte zudem einen Insider-Exploit über 2 Millionen Dollar im Bedrock-UniBTC-Protokoll. Am Mittwoch gab Fuzzland bekannt, dass dieser Exploit, der im September 2024 das Bedrock-UniBTC-Protokoll ins Visier nahm, von einem ehemaligen Mitarbeiter durchgeführt wurde, der sich als MEV-Entwickler ausgab. Der Angreifer nutzte Social Engineering, fügte Malware über ein trojanisches Rust-Paket ein und hielt über drei Wochen lang unentdeckten Zugang zu den Ingenieursystemen. Der Vorfall kulminierte in dem Exploit des UniBTC-Protokolls, kurz nachdem Fuzzland eine Sicherheitsanfälligkeit diskutiert hatte.
Finanzielle Verluste im Krypto-Ökosystem
Bemerkenswerterweise verlor das Krypto-Ökosystem in den ersten drei Monaten des Jahres 2025 laut der Blockchain-Sicherheitsplattform Immunefi insgesamt 1.635.933.800 Dollar über 39 Vorfälle. Der Großteil dieser Verluste resultierte aus nur zwei Hacks von zentralisierten Börsen. Phemex erlitt im Januar einen Verlust von 69,1 Millionen Dollar, während Bybit im Februar 1,46 Milliarden Dollar verlor.
Infolgedessen markiert die Gesamtzahl der Verluste im ersten Quartal einen Anstieg um das 4,7-fache im Vergleich zum ersten Quartal 2024. Zu diesem Zeitpunkt stahlen Hacker und Betrüger 348.251.217 Dollar. Experten vermuten, dass die berüchtigte nordkoreanische Lazarus-Gruppe hinter den beiden größten Angriffen steckt, bei denen insgesamt 1,52 Milliarden Dollar oder 94 % der Gesamtschäden gestohlen wurden.
