Grave Sfruttamento della Piattaforma Stablecoin Resupply
La piattaforma stablecoin Resupply ha subito un grave sfruttamento, con perdite per un valore di $9,5 milioni, a seguito della manipolazione del prezzo di un token collaterale chiave, come riportato da aziende di sicurezza informatica. L’attacco ha preso di mira cvcrvUSD, una versione avvolta di Curve USD (crvUSD) staked su Convex Finance. Inviando donazioni al vault di cvcrvUSD, l’attaccante ha gonfiato il prezzo delle azioni del token. Questo prezzo artificiale è stato poi utilizzato come collaterale per prendere in prestito lo stablecoin nativo di Resupply, reUSD, a un tasso di cambio molto favorevole.
Sfruttamento di Resupply Collegato a Feed di Prezzo Manipolato
Il contratto intelligente di Resupply coinvolto, ResupplyPair (CurveLend: crvUSD/wstUSR), ha utilizzato il prezzo manipolato di cvcrvUSD nei suoi calcoli. Una volta che l’attaccante ha preso in prestito il reUSD, il tasso di cambio manipolato è crollato, innescando una grave svalutazione delle riserve del protocollo. Gli analisti di Blocksec hanno notato che l’attaccante ha principalmente drenato fondi dal mercato wstUSR sfruttando la logica di prezzo difettosa nella funzione di prestito.
“Di conseguenza, l’attaccante ha preso in prestito enormi quantità di reUSD con solo 1 wei di cvcrvUSD come collaterale, eludendo il controllo di insolvenza,” ha scritto Blocksec su X.
Resupply ha riconosciuto la violazione in una dichiarazione e ha confermato che il contratto compromesso è stato messo in pausa. Il team sta indagando sull’incidente e non ha ancora confermato alcun piano di recupero.
“Un’analisi completa sarà condivisa non appena sarà stata condotta un’analisi approfondita della situazione,” ha dichiarato il team.
Sfruttamento Interno sul Protocollo UniBTC di Bedrock
Mercoledì, Fuzzland ha rivelato che uno sfruttamento da $2 milioni mirato al protocollo UniBTC di Bedrock, avvenuto nel settembre 2024, è stato effettuato da un ex dipendente che si spacciava per uno sviluppatore MEV. L’attaccante ha utilizzato ingegneria sociale, ha inserito malware tramite un crate Rust trojanizzato e ha mantenuto accesso non rilevato ai sistemi ingegneristici per oltre tre settimane. La violazione è culminata nello sfruttamento del protocollo UniBTC poco dopo che Fuzzland aveva discusso di una vulnerabilità di sicurezza.
Perdite nell’Ecosistema Crypto nel Primo Trimestre del 2025
È notevole che, nei primi tre mesi del 2025, l’ecosistema crypto ha perso la bellezza di $1.635.933.800 in 39 incidenti, secondo la piattaforma di sicurezza blockchain Immunefi. La maggior parte di queste perdite è stata il risultato di soli due attacchi a due exchange centralizzati. Phemex ha subito una perdita di $69,1 milioni a gennaio, mentre Bybit ha perso $1,46 miliardi a febbraio. Di conseguenza, il numero totale di perdite nel primo trimestre segna un aumento di 4,7 volte rispetto al Q1 2024. A quel tempo, hacker e truffatori avevano rubato $348.251.217. È interessante notare che gli esperti ritengono che il famigerato Gruppo Lazarus della Corea del Nord sia dietro i due attacchi più grandi, avendo rubato $1,52 miliardi, ovvero il 94% delle perdite totali.
