Resupplyのエクスプロイト事件
ステーブルコインプラットフォームResupplyは、攻撃者が主要な担保トークンの価格を操作した結果、950万ドルの大規模なエクスプロイトを受けたとセキュリティ企業が報告しています。この攻撃は、Convex FinanceにステークされたCurve USD (crvUSD) のラップ版であるcvcrvUSDを標的にしました。
攻撃者はcvcrvUSDのボールトに寄付を送ることで、トークンのシェア価格をインフレさせました。このインフレした価格は、ResupplyのネイティブステーブルコインであるreUSDを非常に有利な為替レートで借りるための担保として使用されました。
ResupplyのエクスプロイトはCurveLend契約における操作された価格フィードに関連しています。関与したResupplyスマートコントラクト、ResupplyPair (CurveLend: crvUSD/wstUSR) は、計算に操作されたcvcrvUSDの価格を使用しました。攻撃者がreUSDを借りた後、操作された為替レートは崩壊し、プロトコルの準備金の大幅な価値下落を引き起こしました。
Blocksecのアナリストは、攻撃者が主に借入機能の欠陥を利用してwstUSR市場から資金を引き出したと指摘しました。
盗まれたreUSDは、その後迅速に外部市場で他の暗号資産に変換されました。「その結果、攻撃者はcvcrvUSDの担保としてわずか1 weiで大量のreUSDを借り、破産チェックを回避しました」とBlocksecはXで述べました。
Resupplyは声明で侵害を認め、侵害された契約が一時停止されたことを確認しました。チームは事件を調査中で、まだ回復計画を確認していません。「状況の完全な分析が行われ次第、詳細なポストモーテムを共有します」とチームは述べました。
FuzzlandのUniBTCプロトコルへの攻撃
FuzzlandがBedrockのUniBTCプロトコルに対する200万ドルの内部エクスプロイトを明らかにしました。水曜日、Fuzzlandは2024年9月にBedrockのUniBTCプロトコルを標的にした200万ドルのエクスプロイトが、元従業員がMEV開発者を装って実行したことを明らかにしました。
攻撃者はソーシャルエンジニアリングを使用し、トロイの木馬化されたRustクレートを介してマルウェアを挿入し、3週間以上にわたりエンジニアリングシステムへの検出されないアクセスを維持しました。この侵害は、Fuzzlandがセキュリティの脆弱性について議論した直後にUniBTCプロトコルがエクスプロイトされる結果となりました。
暗号エコシステムの損失
特に、2025年の最初の3か月間で、暗号エコシステムは39件の事件で合計1,635,933,800ドルを失ったと、ブロックチェーンセキュリティプラットフォームImmunefiは報告しています。その大部分は、2つの中央集権的取引所の2つのハッキングによるものでした。
Phemexは1月に6910万ドルの損失を被り、Bybitは2月に14億6000万ドルを失いました。その結果、第一四半期の総損失は2024年第1四半期と比較して4.7倍の増加を示しています。
その時、ハッカーや詐欺師は348,251,217ドルを盗みました。特に、専門家は悪名高い北朝鮮のLazarus Groupが2つの最大の攻撃の背後にいると考えています。彼らは15億2000万ドル、つまり総損失の94%を盗みました。
