稳定币协议补给遭遇950万美元攻击

Resupply，一个与主要去中心化金融参与者Convex Finance和Yearn Finance相关的去中心化稳定币协议，遭受了950万美元的攻击。

区块链安全公司，包括 BlockSec Phalcon 和 CertiK，发出警报，详细说明了一起利用低流动性市场中的汇率操纵进行的攻击。

漏洞详情

根据Phalcon的说法，攻击者通过针对性的“捐赠”在人为稀薄或空的市场中人为抬高了cvcrvUSD代币的价格。CertiK证实了这一信息，补充说黑客从Morpho进行闪电贷，借用了4000美元的USDC以启动此次攻击。

他们随后据说将操纵后的价格作为合同汇率计算中的分母，并且由于系统使用了向下取整，这使他们能够将汇率舍入到零。

之后，恶意行为者借入了近1000万美元的reUSD代币，抵押的担保几乎可以忽略不计，约为一wei的cvcrvUSD，完全绕过了任何偿付能力检查。成功后，他们迅速通过Curve和Uniswap将代币兑换为USDC和wrapped Ethereum (WETH)，产生了大约950万美元的净利润。

PeckShield的进一步分析表明，利用漏洞的切入点是Cow Swap上的一笔涉及2 ETH的交易，随后资金被转入Tornado Cash以实现匿名。在经过混合器后，攻击者将资金存入漏洞合约，然后利用它触发了一个漏洞，使他们能够借用并提取大约1,581 ETH。

在X上的一篇帖子中，CertiK指出，利用者将大约556万美元转移到一个地址，另外400万美元转移到另一个地址，合并了攻击后的资金。

Resupply 已通过其官方 X 账号确认了该漏洞。该平台宣布已暂停受影响的市场，但坚持认为其他操作将正常继续。它还表示将在接下来的几天内提供完整的事后分析。

更广泛的模式

此最新攻击发生在伊朗加密货币交易所Nobitex被黑客团体“Gonjeshke Darande”攻击，导致4900万美元被盗，仅仅一周之后。

今年五月早些时候，基于Sui的去中心化交易所Cetus遭受了一次更大的攻击，损失约2.23亿美元。在那次事件中，未知的罪犯据称控制了Cetus上所有以SUI计价的流动性池，然后将其抽空。

在攻击发生不久后，在Sui验证者的帮助下，Cetus成功冻结了两个钱包，这些钱包中持有约1.62亿美元的被盗加密货币。然而，窃贼仍然能够将近6000万美元的代币桥接到以太坊，并将其兑换为ETH。该去中心化交易所自此开始计划补偿受到攻击影响的用户。

与此同时，恶意行为者越来越多地瞄准可信的加密信息和数据平台。前币安首席执行官赵长鹏最近强调了这一趋势，指出对CoinMarketCap和Cointelegraph的快速攻击，以部署窃取钱包的网络钓鱼弹出窗口，这一举动与更为人熟知的直接黑客攻击加密交易所的方式有所不同。