币圈子(120BTC.COm)讯:又一DeFi协议被黑!专注于去中心化借贷和稳定币服务的DeFi协议ResupplyFi今(26)日稍早透过X平台发文,正式确认其wstUSR市场遭受了重大安全漏洞攻击,导致约960万美元的加密资产损失。
“ResupplyFi的wstUSR市场遭遇漏洞攻击。受影响的智能合约已确认并暂停运作。仅wstUSR市场受到影响,协议其他部分仍按设计正常运行。我们将在完成全面分析后,尽快分享完整的事后分析报告。”
黑客攻击详情与漏洞根源
根据《Cointelegraph》报导,安全公司分析指出,黑客利用了Resupply Pair智能合约中的价格操纵漏洞,具体针对协议与合成稳定币cvcrvUSD的集成。攻击者透过向低流动性市场「捐赠」或使用闪电贷(flashloan)的方式,大幅操纵了cvcrvUSD的价格,随后仅以极低的抵押品借出了约1,000万reUSD(Resupply的原生稳定币)。这些借出的reUSD被迅速兑换为其他加密资产,包括以太坊(ETH)和USDC,造成约960万美元的净损失。
漏洞的根源在于Resupply协议使用了一个空的ERC4626包装器作为价格预言机(priceoracle),导致价格逻辑存在严重缺陷。这种设计失误使得黑客能够以极低成本操纵汇率,从而轻松掠夺巨额资金。Cyvers指出,黑客的初始资金通过加密混币器Tornado Cash提供,这进一步掩盖了资金来源,增加了追踪难度。
目前,被盗资金已被兑换为约200万美元的以太坊(ETH)、360万美元的USDC以及其他加密资产,并分散至两个匿名钱包地址。
Resupply FiUSD脱钩
受此影响,Resupply FiUSD(reUSD)在今日也一度脱钩至最低0.96902美元,撰稿当下暂报0.9906美元,市值约为8,245万美元。
ResupplyFi是什么?
ResupplyFi是一个去中心化金融(DeFi)协议,专注于提供去中心化的借贷和稳定币交易服务。其核心功能包括:ResupplyFi允许用户通过智能合约进行去中心化借贷、抵押资产以生成稳定币(如reUSD),并提供流动性挖矿等功能。其主要市场之一是wstUSR市场,涉及与合成稳定币(如cvcrvUSD)的集成。
此次事件再次敲响了DeFi协议安全性的警钟。专家建议,DeFi项目应加强智能合约的输入验证、改进价格预言机的设计,并进行极端情况下的压力测试,以防范类似的价格操纵攻击。此外,采用多重预言机或去中心化数据来源也能有效降低风险。
评论(0)