又一 DeFi 协议被骇!专注于去中心化借贷和稳定币服务的 DeFi 协议 ResupplyFi 今(26)日稍早透过 X 平台发文,正式确认其 wstUSR 市场遭受了重大安全漏洞攻击,导致约 960 万美元的加密资产损失。
ResupplyFi 的 wstUSR 市场遭遇漏洞攻击。受影响的智能合约已确认并暂停运作。仅 wstUSR 市场受到影响,协议其他部分仍按设计正常运行。我们将在完成全面分析后,尽快分享完整的事后分析报告。
骇客攻击详情与漏洞根源
根据《Cointelegraph》报导,安全公司分析指出,骇客利用了 ResupplyPair 智能合约中的价格操纵漏洞,具体针对协议与合成稳定币 cvcrvUSD 的集成。攻击者透过向低流动性市场「捐赠」或使用闪电贷(flash loan)的方式,大幅操纵了 cvcrvUSD 的价格,随后仅以极低的抵押品借出了约 1,000 万 reUSD(Resupply 的原生稳定币)。这些借出的 reUSD 被迅速兑换为其他加密资产,包括以太坊(ETH)和 USDC,造成约 960 万美元的净损失。
漏洞的根源在于 Resupply 协议使用了一个空的 ERC4626 包装器作为价格预言机(price oracle),导致价格逻辑存在严重缺陷。这种设计失误使得骇客能够以极低成本操纵汇率,从而轻松掠夺巨额资金。Cyvers 指出,骇客的初始资金通过加密混币器 Tornado Cash 提供,这进一步掩盖了资金来源,增加了追踪难度。
目前,被盗资金已被兑换为约 200 万美元的以太坊(ETH)、360 万美元的 USDC 以及其他加密资产,并分散至两个匿名钱包地址。
ResupplyFi USD 脱钩
受此影响,ResupplyFi USD(reUSD)在今日也一度脱钩至最低 0.96902 美元,撰稿当下暂报 0.9906 美元,市值约为 8,245 万美元。
ResupplyFi 是什么?
ResupplyFi 是一个去中心化金融(DeFi)协议,专注于提供去中心化的借贷和稳定币交易服务。其核心功能包括:ResupplyFi 允许用户通过智能合约进行去中心化借贷、抵押资产以生成稳定币(如 reUSD),并提供流动性挖矿等功能。其主要市场之一是 wstUSR 市场,涉及与合成稳定币(如 cvcrvUSD)的集成。
此次事件再次敲响了 DeFi 协议安全性的警钟。专家建议,DeFi 项目应加强智能合约的输入验证、改进价格预言机的设计,并进行极端情况下的压力测试,以防范类似的价格操纵攻击。此外,采用多重预言机或去中心化数据来源也能有效降低风险。
