专注于去中心化借贷和稳定币服务的 DeFi 协议 ResupplyFi 今(26)日稍早透过 X 平台发文,正式确认其 wstUSR 市场遭受了重大安全漏洞攻击,导致约 960 万美元的加密资产损失。
(前情提要:冷钱包Trezor警告:骇客假冒官方信进行钓鱼攻击,切勿分享钱包私钥)
(背景补充:Starknet生态借贷协议zkLend宣布停运:2月遭骇950万镁用户失信心、$ZEND遭下架流动性枯竭..)
本文目录
- 骇客攻击详情与漏洞根源
- ResupplyFi USD 脱钩
- ResupplyFi 是什么?
又一 DeFi 协议被骇!专注于去中心化借贷和稳定币服务的 DeFi 协议 ResupplyFi 今(26)日稍早透过 X 平台发文,正式确认其 wstUSR 市场遭受了重大安全漏洞攻击,导致约 960 万美元的加密资产损失。
ResupplyFi 的 wstUSR 市场遭遇漏洞攻击。受影响的智能合约已确认并暂停运作。仅 wstUSR 市场受到影响,协议其他部分仍按设计正常运行。我们将在完成全面分析后,尽快分享完整的事后分析报告。
Resupply has experienced an exploit in the wstUSR market. The affected contract has been identified and paused. Only the wstUSR market was impacted and the protocol continues to function as intended. A full post-mortem will be shared as soon as a complete analysis of the…
— Resupply (@ResupplyFi) June 26, 2025
骇客攻击详情与漏洞根源
根据《Cointelegraph》报导,安全公司分析指出,骇客利用了 ResupplyPair 智能合约中的价格操纵漏洞,具体针对协议与合成稳定币 cvcrvUSD 的集成。攻击者透过向低流动性市场「捐赠」或使用闪电贷(flash loan)的方式,大幅操纵了 cvcrvUSD 的价格,随后仅以极低的抵押品借出了约 1,000 万 reUSD(Resupply 的原生稳定币)。这些借出的 reUSD 被迅速兑换为其他加密资产,包括以太坊(ETH)和 USDC,造成约 960 万美元的净损失。
漏洞的根源在于 Resupply 协议使用了一个空的 ERC4626 包装器作为价格预言机(price oracle),导致价格逻辑存在严重缺陷。这种设计失误使得骇客能够以极低成本操纵汇率,从而轻鬆掠夺巨额资金。Cyvers 指出,骇客的初始资金通过加密混币器 Tornado Cash 提供,这进一步掩盖了资金来源,增加了追蹤难度。
目前,被盗资金已被兑换为约 200 万美元的以太坊(ETH)、360 万美元的 USDC 以及其他加密资产,并分散至两个匿名钱包地址。
ResupplyFi USD 脱钩
受此影响,ResupplyFi USD(reUSD)在今日也一度脱钩至最低 0.96902 美元,撰稿当下暂报 0.9906 美元,市值约为 8,245 万美元。
ResupplyFi 是什么?
ResupplyFi 是一个去中心化金融(DeFi)协议,专注于提供去中心化的借贷和稳定币交易服务。其核心功能包括:ResupplyFi 允许用户通过智能合约进行去中心化借贷、抵押资产以生成稳定币(如 reUSD),并提供流动性挖矿等功能。其主要市场之一是 wstUSR 市场,涉及与合成稳定币(如 cvcrvUSD)的集成。
此次事件再次敲响了 DeFi 协议安全性的警钟。专家建议,DeFi 项目应加强智能合约的输入验证、改进价格预言机的设计,并进行极端情况下的压力测试,以防範类似的价格操纵攻击。此外,採用多重预言机或去中心化数据来源也能有效降低风险。
