攻击者通过操控代币价格来扭曲汇率，从去中心化稳定币协议Resupply中抽走了约950万美元。

该漏洞最早于6月25日由安全平台BlockSec Phalcon发现，他们检测到一笔可疑交易导致了950万美元的损失。随后不久，Resupply协议在X平台上确认了这一事件，表示受影响的智能合约已被暂停，并且此次攻击仅影响其wstUSR市场。团队还表示正在开展全面的复盘分析，核心协议仍正常运行。

Resupply在wstUSR市场遭遇了漏洞攻击。受影响的合约已被识别并暂停。只有wstUSR市场受到影响，协议仍按预期运作。完整的复盘报告将在完成全面分析后尽快发布。

— Resupply (@ResupplyFi) 2025年6月26日

尽管详细的分析结果尚未公布，但安全研究人员初步分析指出，这是一起典型的低流动性市场中的价格操纵案例。该漏洞针对的是cvcrvUSD，这是Curve DAO（CRV）的crvUSD代币通过Convex Finance质押后的封装版本。

分析师表示，攻击者通过发送小额捐赠人为地抬高了cvcrvUSD的份额价格。由于Resupply的汇率公式依赖于这个被人为抬高的价格，系统因此变得脆弱。

你可能也喜欢： Hacken桥因私钥泄露被利用，价值25万美元的HAI代币被盗

随后，攻击者使用Resupply的智能合约以仅仅1 wei的cvcrvUSD作为抵押，借出了1000万reUSD，即该平台的原生稳定币。所借的reUSD迅速在外部市场转换为其他资产，导致近950万美元的净损失。

进一步调查显示，攻击者利用了一个空的ERC4626包装器，该包装器在协议的CurveLend对中充当价格预言机。这使得仅用两个crvUSD就能使cvcrvUSD的价格飙升，绕过了常规的抵押要求。

这一事件加剧了2025年价格上涨操纵攻击的上升趋势。最近类似漏洞已影响到了Meta Pool和GMX/MIM Spell生态系统，这些协议均因预言机漏洞和低流动性代币操纵而遭到破坏。

薄弱的定价机制和闪电贷款仍然是攻击者的常用工具，他们继续针对DeFi系统进行攻击，即使这些系统通过了合同安全审计，但其交易量仍然较薄。Resupply尚未确认是否将赔偿用户资金或正在进行恢复工作。

阅读更多: Cork协议攻击者通过Tornado Cash洗钱，向开发者法律基金捐赠了10 ETH