黑客利用漏洞窃取 DeFi 稳定币协议 Resupply 中的 960 万美元

近日，一名黑客从去中心化稳定币协议 Resupply 窃取了 960 万美元。Resupply 是一个与知名 DeFi 项目 Convex Finance 和 Yearn Finance 相关联的协议。通过操纵代币价格并利用平台汇率计算中的关键漏洞，攻击者成功盗走了这笔巨额资金。

据区块链安全公司 Phalcon 的分析，攻击者通过“定向捐赠”的方式人为抬高了 cvcrvUSD（Curve Vault 的 CurveUSD 代币）的价格，并将其投放到交易量极低的市场中。随后，他们利用这一被操纵的价格，仅用 1wei 的抵押品就借入了价值近 1000 万美元的 reUSD 代币。

此次攻击再次凸显了去中心化金融协议的安全隐患。尽管行业对安全性的重视程度不断提高，但今年以来，重大加密安全漏洞已导致超过 21 亿美元的损失。

Cyvers 高级安全运营主管 Hakan Unal 表示：“攻击者通过操纵代币价格触发了 Resupply 智能合约中的一个漏洞（零汇率），从而以极低的成本借出了大量资金。” 这种零汇率机制让攻击者完全绕过了偿付能力检查。

在获得贷款后，攻击者迅速通过 Curve 和 Uniswap 将代币兑换为 USDC 并包装以太坊，最终获得了约 950 万美元的利润。Unal 建议用户应避免使用 reUSD 金库，并尽快提取资金。

PeckShield 的进一步分析揭示了攻击的切入点：Cow Swap 上的一笔涉及 2 ETH 的交易，随后攻击者通过匿名硬币混合器 Tornado Cash 隐藏了资金流向。

Cow Swap 是一个去中心化交易所，允许用户在交易加密货币时无需抢先交易保护。攻击者最终从该协议中窃取了约 1,581 ETH。

Resupply 官方通过其 X 账户确认了此次攻击：“Resupply 在 wstUSR 市场遭遇了攻击。受影响的合约已被识别并暂停。只有 wstUSR 市场受到影响，其他市场继续正常运行。” 平台还宣布将暂停受影响的市场，并承诺在完成全面分析后发布详细的事后报告。

据 CertiK 报道，攻击者已将约 556 万美元转移到一个地址，另外 400 万美元转移到另一个地址，资金被集中到两个钱包中，分别包含 2.2K ETH 和 1.6K ETH。

Resupply 的漏洞事件延续了今年加密领域的重大安全问题趋势。就在一周前，伊朗加密货币交易所 Nobitex 遭遇了一起 4900 万美元的攻击，据称由亲以色列黑客组织“Gonjeshke Darande”实施。该组织通过销毁被盗资金发表政治声明，而非从中获利。

编辑：史黛西·艾略特