Eksploitasi Besar di Platform Stablecoin Resupply
Platform stablecoin Resupply mengalami eksploitasi besar senilai $9,5 juta setelah seorang penyerang berhasil memanipulasi harga token jaminan kunci. Menurut laporan dari perusahaan keamanan, serangan ini menargetkan cvcrvUSD, versi terbungkus dari Curve USD (crvUSD) yang dipertaruhkan di Convex Finance. Dengan mengirimkan donasi ke brankas cvcrvUSD, penyerang berhasil menggelembungkan harga saham token tersebut. Harga yang terinflasi ini kemudian digunakan sebagai jaminan untuk meminjam stablecoin asli Resupply, yaitu reUSD, dengan tingkat pertukaran yang sangat menguntungkan.
Manipulasi Harga dan Dampaknya
Eksploitasi Resupply ini terkait dengan manipulasi harga dalam kontrak CurveLend. Kontrak pintar yang terlibat, ResupplyPair (CurveLend: crvUSD/wstUSR), menggunakan harga cvcrvUSD yang telah dimanipulasi dalam perhitungannya. Setelah penyerang meminjam reUSD, tingkat pertukaran yang dimanipulasi tersebut runtuh, memicu devaluasi besar-besaran dari cadangan protokol. Analis di Blocksec mencatat bahwa penyerang terutama menguras dana dari pasar wstUSR dengan mengeksploitasi logika harga yang cacat dalam fungsi peminjaman. reUSD yang dicuri kemudian dengan cepat dikonversi menjadi aset kripto lainnya di pasar eksternal.
“Akibatnya, penyerang meminjam reUSD dalam jumlah besar hanya dengan 1 wei cvcrvUSD sebagai jaminan, melewati pemeriksaan insolvensi,” tulis Blocksec di platform X.
Pernyataan Resupply dan Investigasi
Resupply mengakui pelanggaran tersebut dalam sebuah pernyataan dan mengonfirmasi bahwa kontrak yang terkompromi telah dihentikan. Tim Resupply saat ini sedang menyelidiki insiden tersebut dan belum mengonfirmasi rencana pemulihan.
“Analisis lengkap akan dibagikan segera setelah analisis situasi secara menyeluruh dilakukan,” tulis tim tersebut.
Eksploitasi Lainnya di Ekosistem Kripto
Di sisi lain, Fuzzland juga mengungkapkan eksploitasi senilai $2 juta yang menargetkan protokol UniBTC Bedrock pada September 2024, yang dilakukan oleh mantan karyawan yang menyamar sebagai pengembang MEV. Penyerang menggunakan rekayasa sosial, menyisipkan malware melalui crate Rust yang tertrojan, dan mempertahankan akses tidak terdeteksi ke sistem rekayasa selama lebih dari tiga minggu. Pelanggaran ini memuncak dengan eksploitasi protokol UniBTC tak lama setelah Fuzzland membahas kerentanan keamanan.
Kerugian Ekosistem Kripto di Tahun 2025
Perlu dicatat bahwa dalam tiga bulan pertama tahun 2025, ekosistem kripto kehilangan total $1.635.933.800 akibat 39 insiden, menurut platform keamanan blockchain Immunefi. Sebagian besar kerugian tersebut diakibatkan oleh hanya dua peretasan di dua bursa terpusat. Phemex mengalami kerugian sebesar $69,1 juta pada bulan Januari, sementara Bybit kehilangan $1,46 miliar pada bulan Februari. Total kerugian di kuartal pertama mencatat peningkatan 4,7 kali lipat dibandingkan Q1 2024, di mana peretas dan penipu mencuri $348.251.217. Para ahli berasumsi bahwa kelompok terkenal asal Korea Utara, Lazarus Group, berada di balik dua serangan terbesar tersebut, yang mencuri $1,52 miliar atau 94% dari total kerugian.
