Exploitation de la plateforme Resupply
La plateforme de stablecoin Resupply a subi une exploitation majeure d’une valeur de 9,5 millions de dollars après qu’un attaquant a manipulé le prix d’un token de garantie clé, selon des entreprises de sécurité. L’attaque a ciblé le cvcrvUSD, une version enveloppée de Curve USD (crvUSD) mise en jeu sur Convex Finance. En envoyant des dons au coffre cvcrvUSD, l’attaquant a réussi à gonfler le prix de ce token. Ce prix artificiellement élevé a ensuite été utilisé comme garantie pour emprunter le stablecoin natif de Resupply, le reUSD, à un taux de change très favorable.
Analyse de l’attaque
L’exploitation de Resupply est liée à un flux de prix manipulé dans le contrat CurveLend. Le contrat intelligent de Resupply impliqué, ResupplyPair (CurveLend : crvUSD/wstUSR), a utilisé le prix manipulé du cvcrvUSD dans ses calculs. Une fois que l’attaquant a emprunté le reUSD, le taux de change manipulé s’est effondré, entraînant une dévaluation majeure des réserves du protocole. Les analystes de Blocksec ont noté que l’attaquant a principalement drainé des fonds du marché wstUSR en exploitant la logique de prix défectueuse dans la fonction d’emprunt.
« En conséquence, l’attaquant a emprunté d’énormes montants de reUSD avec seulement 1 wei de cvcrvUSD comme garantie, contournant ainsi le contrôle d’insolvabilité, »
a écrit Blocksec sur X.
Resupply a reconnu la violation dans une déclaration et a confirmé que le contrat compromis a été mis en pause. L’équipe enquête sur l’incident et n’a pas encore confirmé de plans de récupération.
« Un rapport complet sera partagé dès qu’une analyse approfondie de la situation aura été réalisée, »
a précisé l’équipe.
Exploitation de Fuzzland
Par ailleurs, Fuzzland a révélé une exploitation interne de 2 millions de dollars ciblant le protocole UniBTC de Bedrock. Mercredi, Fuzzland a annoncé qu’un ancien employé, se faisant passer pour un développeur MEV, avait réalisé cette exploitation en septembre 2024. L’attaquant a utilisé l’ingénierie sociale, inséré un logiciel malveillant via un crate Rust trojanisé, et a maintenu un accès non détecté aux systèmes d’ingénierie pendant plus de trois semaines. La violation a culminé avec l’exploitation du protocole UniBTC peu après que Fuzzland ait discuté d’une vulnérabilité de sécurité.
Pertes dans l’écosystème crypto
Notamment, au cours des trois premiers mois de 2025, l’écosystème crypto a perdu la somme incroyable de 1 635 933 800 dollars à travers 39 incidents, selon la plateforme de sécurité blockchain Immunefi. La majorité de ces pertes était le résultat de seulement deux hacks de deux échanges centralisés. Phemex a subi une perte de 69,1 millions de dollars en janvier, tandis que Bybit a perdu 1,46 milliard de dollars en février. Par conséquent, le nombre total de pertes au cours du premier trimestre marque une augmentation de 4,7 fois par rapport au T1 2024, période durant laquelle les hackers et les fraudeurs avaient volé 348 251 217 dollars. Les experts supposent que le tristement célèbre groupe Lazarus de Corée du Nord est derrière les deux plus grandes attaques, ayant volé 1,52 milliard de dollars, soit 94 % des pertes totales.
