Атака на платформу Stablecoin Resupply
Платформа Stablecoin Resupply стала жертвой серьезной атаки на сумму $9.5 миллиона после того, как злоумышленник манипулировал ценой ключевого токена обеспечения. Об этом сообщили компании по безопасности.
Механизм атаки
Атака была направлена на cvcrvUSD, обернутую версию Curve USD (crvUSD), которая использовалась в качестве залога на Convex Finance. Злоумышленник отправил пожертвования в хранилище cvcrvUSD, что позволило ему завысить цену доли токена. Эта завышенная цена затем использовалась в качестве залога для займа родного стейблкоина Resupply, reUSD, по крайне выгодному обменному курсу.
Атака на Resupply была связана с манипулированной ценовой лентой в контракте CurveLend. Умный контракт Resupply, вовлеченный в процесс, ResupplyPair (CurveLend: crvUSD/wstUSR), использовал манипулированную цену cvcrvUSD в своих расчетах. Как только злоумышленник занял reUSD, манипулированный обменный курс рухнул, что привело к значительной девальвации резервов протокола.
«В результате злоумышленник занял огромный объем reUSD, используя всего 1 wei cvcrvUSD в качестве залога, минуя проверку на неплатежеспособность,» — сообщили в Blocksec.
Реакция и расследование
Resupply признала нарушение в своем заявлении и подтвердила, что скомпрометированный контракт был приостановлен. Команда проводит расследование инцидента и пока не подтвердила планы по восстановлению.
«Полный отчет будет представлен, как только будет проведен полный анализ ситуации,» — добавила команда.
Внутренняя атака на UniBTC
В то же время Fuzzland раскрыла информацию о внутренней атаке на $2 миллиона на протокол UniBTC от Bedrock. В среду Fuzzland сообщила, что атака была осуществлена бывшим сотрудником, выдававшим себя за разработчика MEV.
Злоумышленник использовал социальную инженерию, внедрил вредоносное ПО через троянский Rust crate и поддерживал незамеченный доступ к инженерным системам более трех недель. Нарушение culminировало в атаке на протокол UniBTC вскоре после того, как Fuzzland обсудила уязвимость безопасности.
Общие потери в криптоэкосистеме
Примечательно, что в первые три месяца 2025 года криптоэкосистема потеряла колоссальные $1,635,933,800 в 39 инцидентах, согласно платформе безопасности блокчейна Immunefi. Большая часть из этого была результатом всего двух взломов двух централизованных бирж.
Phemex понесла убытки в размере $69.1 миллиона в январе, в то время как Bybit потеряла $1.46 миллиарда в феврале. В результате общее количество потерь в первом квартале увеличилось в 4.7 раза по сравнению с Q1 2024.
В то же время хакеры и мошенники украли $348,251,217. Примечательно, что эксперты предполагают, что за двумя крупнейшими атаками стоит печально известная группа Lazarus из Северной Кореи, которая украла $1.52 миллиарда, или 94% от общих потерь.
