Explotación de Resupply
La plataforma de stablecoin Resupply sufrió una importante explotación valorada en $9.5 millones, luego de que un atacante manipuló el precio de un token colateral clave, según informaron diversas firmas de seguridad. El ataque tuvo como objetivo el cvcrvUSD, una versión envuelta de Curve USD (crvUSD) que se encuentra apostada en Convex Finance.
Al enviar donaciones al vault de cvcrvUSD, el atacante infló el precio de la acción del token. Este precio inflado se utilizó posteriormente como colateral para solicitar el stablecoin nativo de Resupply, reUSD, a una tasa de cambio muy favorable.
La explotación de Resupply está vinculada a un feed de precios manipulado en el contrato de CurveLend. El contrato inteligente de Resupply involucrado, ResupplyPair (CurveLend: crvUSD/wstUSR), utilizó el precio manipulado de cvcrvUSD en sus cálculos. Una vez que el atacante pidió prestado el reUSD, la tasa de cambio manipulada colapsó, provocando una significativa devaluación de las reservas del protocolo.
Los analistas de Blocksec señalaron que el atacante drenó principalmente fondos del mercado de wstUSR al explotar la lógica de precios defectuosa en la función de préstamo.
«Como resultado, el atacante pidió prestado una gran cantidad de reUSD con solo 1 wei de cvcrvUSD como colateral, eludiendo la verificación de insolvencia»
, escribió Blocksec en X.
Resupply reconoció la violación en un comunicado y confirmó que el contrato comprometido ha sido pausado. El equipo está investigando el incidente y aún no ha confirmado ningún plan de recuperación.
«Se compartirá un análisis completo tan pronto como se haya realizado un análisis exhaustivo de la situación»
, indicó el equipo.
Exploit en UniBTC
Por otro lado, Fuzzland reveló un exploit interno de $2 millones en el protocolo UniBTC de Bedrock. El miércoles, Fuzzland divulgó que un exploit de $2 millones dirigido al protocolo UniBTC de Bedrock en septiembre de 2024 fue llevado a cabo por un ex empleado que se hacía pasar por un desarrollador de MEV.
El atacante utilizó ingeniería social, insertó malware a través de un crate de Rust trojanizado y mantuvo acceso no detectado a los sistemas de ingeniería durante más de tres semanas. La violación culminó en la explotación del protocolo UniBTC poco después de que Fuzzland discutiera una vulnerabilidad de seguridad.
Pérdidas en el ecosistema cripto
Notablemente, en los primeros tres meses de 2025, el ecosistema cripto perdió la asombrosa cifra de $1,635,933,800 en 39 incidentes, según la plataforma de seguridad blockchain Immunefi. La mayor parte de esas pérdidas fue el resultado de solo dos hackeos de intercambios centralizados.
Phemex sufrió una pérdida de $69.1 millones en enero, mientras que Bybit perdió $1.46 mil millones en febrero. Posteriormente, el total de pérdidas en el primer trimestre marca un aumento de 4.7 veces en comparación con el primer trimestre de 2024, cuando los hackers y estafadores robaron $348,251,217.
Notablemente, los expertos suponen que el infame Grupo Lazarus de Corea del Norte está detrás de los dos ataques más grandes, habiendo robado $1.52 mil millones, lo que representa el 94% de las pérdidas totales.
