又一 DeFi 協議被駭!專注於去中心化借貸和穩定幣服務的 DeFi 協議 ResupplyFi 今(26)日稍早透過 X 平台發文,正式確認其 wstUSR 市場遭受了重大安全漏洞攻擊,導致約 960 萬美元的加密資產損失。
ResupplyFi 的 wstUSR 市場遭遇漏洞攻擊。受影響的智能合約已確認並暫停運作。僅 wstUSR 市場受到影響,協議其他部分仍按設計正常運行。我們將在完成全面分析後,盡快分享完整的事後分析報告。
駭客攻擊詳情與漏洞根源
根據《Cointelegraph》報導,安全公司分析指出,駭客利用了 ResupplyPair 智能合約中的價格操縱漏洞,具體針對協議與合成穩定幣 cvcrvUSD 的集成。攻擊者透過向低流動性市場「捐贈」或使用閃電貸(flash loan)的方式,大幅操縱了 cvcrvUSD 的價格,隨後僅以極低的抵押品借出了約 1,000 萬 reUSD(Resupply 的原生穩定幣)。這些借出的 reUSD 被迅速兌換為其他加密資產,包括以太坊(ETH)和 USDC,造成約 960 萬美元的淨損失。
漏洞的根源在於 Resupply 協議使用了一個空的 ERC4626 包装器作為價格預言機(price oracle),導致價格邏輯存在嚴重缺陷。這種設計失誤使得駭客能夠以極低成本操縱匯率,從而輕鬆掠奪巨額資金。Cyvers 指出,駭客的初始資金通過加密混幣器 Tornado Cash 提供,這進一步掩蓋了資金來源,增加了追蹤難度。
目前,被盜資金已被兌換為約 200 萬美元的以太坊(ETH)、360 萬美元的 USDC 以及其他加密資產,並分散至兩個匿名錢包地址。
ResupplyFi USD 脫鉤
受此影響,ResupplyFi USD(reUSD)在今日也一度脫鉤至最低 0.96902 美元,撰稿當下暫報 0.9906 美元,市值約為 8,245 萬美元。
ResupplyFi 是什麼?
ResupplyFi 是一個去中心化金融(DeFi)協議,專注於提供去中心化的借貸和穩定幣交易服務。其核心功能包括:ResupplyFi 允許用戶通過智能合約進行去中心化借貸、抵押資產以生成穩定幣(如 reUSD),並提供流動性挖礦等功能。其主要市場之一是 wstUSR 市場,涉及與合成穩定幣(如 cvcrvUSD)的集成。
此次事件再次敲響了 DeFi 協議安全性的警鐘。專家建議,DeFi 項目應加強智能合約的輸入驗證、改進價格預言機的設計,並進行極端情況下的壓力測試,以防範類似的價格操縱攻擊。此外,採用多重預言機或去中心化數據來源也能有效降低風險。
