專注於去中心化借貸和穩定幣服務的 DeFi 協議 ResupplyFi 今(26)日稍早透過 X 平台發文,正式確認其 wstUSR 市場遭受了重大安全漏洞攻擊,導致約 960 萬美元的加密資產損失。
(前情提要:冷錢包Trezor警告:駭客假冒官方信進行釣魚攻擊,切勿分享錢包私鑰)
(背景補充:Starknet生態借貸協議zkLend宣佈停運:2月遭駭950萬鎂用戶失信心、$ZEND遭下架流動性枯竭..)
又一 DeFi 協議被駭!專注於去中心化借貸和穩定幣服務的 DeFi 協議 ResupplyFi 今(26)日稍早透過 X 平台發文,正式確認其 wstUSR 市場遭受了重大安全漏洞攻擊,導致約 960 萬美元的加密資產損失。
ResupplyFi 的 wstUSR 市場遭遇漏洞攻擊。受影響的智能合約已確認並暫停運作。僅 wstUSR 市場受到影響,協議其他部分仍按設計正常運行。我們將在完成全面分析後,盡快分享完整的事後分析報告。
Resupply has experienced an exploit in the wstUSR market. The affected contract has been identified and paused. Only the wstUSR market was impacted and the protocol continues to function as intended. A full post-mortem will be shared as soon as a complete analysis of the…
— Resupply (@ResupplyFi) June 26, 2025
駭客攻擊詳情與漏洞根源
根據《Cointelegraph》報導,安全公司分析指出,駭客利用了 ResupplyPair 智能合約中的價格操縱漏洞,具體針對協議與合成穩定幣 cvcrvUSD 的集成。攻擊者透過向低流動性市場「捐贈」或使用閃電貸(flash loan)的方式,大幅操縱了 cvcrvUSD 的價格,隨後僅以極低的抵押品借出了約 1,000 萬 reUSD(Resupply 的原生穩定幣)。這些借出的 reUSD 被迅速兌換為其他加密資產,包括以太坊(ETH)和 USDC,造成約 960 萬美元的淨損失。
漏洞的根源在於 Resupply 協議使用了一個空的 ERC4626 包装器作為價格預言機(price oracle),導致價格邏輯存在嚴重缺陷。這種設計失誤使得駭客能夠以極低成本操縱匯率,從而輕鬆掠奪巨額資金。Cyvers 指出,駭客的初始資金通過加密混幣器 Tornado Cash 提供,這進一步掩蓋了資金來源,增加了追蹤難度。
目前,被盜資金已被兌換為約 200 萬美元的以太坊(ETH)、360 萬美元的 USDC 以及其他加密資產,並分散至兩個匿名錢包地址。
ResupplyFi USD 脫鉤
受此影響,ResupplyFi USD(reUSD)在今日也一度脫鉤至最低 0.96902 美元,撰稿當下暫報 0.9906 美元,市值約為 8,245 萬美元。
ResupplyFi 是什麼?
ResupplyFi 是一個去中心化金融(DeFi)協議,專注於提供去中心化的借貸和穩定幣交易服務。其核心功能包括:ResupplyFi 允許用戶通過智能合約進行去中心化借貸、抵押資產以生成穩定幣(如 reUSD),並提供流動性挖礦等功能。其主要市場之一是 wstUSR 市場,涉及與合成穩定幣(如 cvcrvUSD)的集成。
此次事件再次敲響了 DeFi 協議安全性的警鐘。專家建議,DeFi 項目應加強智能合約的輸入驗證、改進價格預言機的設計,並進行極端情況下的壓力測試,以防範類似的價格操縱攻擊。此外,採用多重預言機或去中心化數據來源也能有效降低風險。
📍相關報導📍
伊朗宣布「晚上禁用加密貨幣」,以色列駭客燒毀Nobitex 1億美元引爆鏈上戰火
