Pag-atake sa Resupply Stablecoin Platform
Ang stablecoin platform na Resupply ay nakaranas ng isang malaking pag-atake na nagkakahalaga ng $9.5 milyon matapos manipulahin ng isang attacker ang presyo ng isang pangunahing collateral token. Ayon sa mga ulat mula sa mga kumpanya ng seguridad, ang atake ay nakatuon sa cvcrvUSD, isang nakabalot na bersyon ng Curve USD (crvUSD) na naka-stake sa Convex Finance.
Paraan ng Atake
Sa pamamagitan ng pagpapadala ng mga donasyon sa vault ng cvcrvUSD, ininflate ng attacker ang presyo ng token. Ang inflated na presyo na ito ay ginamit bilang collateral upang mangutang ng native stablecoin ng Resupply, ang reUSD, sa isang napaka-kanais-nais na exchange rate.
Ang Resupply exploit ay konektado sa manipulated price feed sa CurveLend contract. Ang smart contract ng Resupply na kasangkot, ResupplyPair (CurveLend: crvUSD/wstUSR), ay gumamit ng manipulated na presyo ng cvcrvUSD sa mga kalkulasyon nito. Sa sandaling nangutang ang attacker ng reUSD, bumagsak ang manipulated na exchange rate, na nag-trigger ng malaking devaluation ng mga reserba ng protocol.
Mga Epekto ng Atake
Napansin ng mga analyst mula sa Blocksec na pangunahing inubos ng attacker ang mga pondo mula sa wstUSR market sa pamamagitan ng pagsasamantala sa flawed na price logic sa borrowing function. Ang ninakaw na reUSD ay mabilis na na-convert sa iba pang crypto assets sa mga panlabas na merkado.
“Bilang resulta, nangutang ang attacker ng napakalaking reUSD gamit lamang ang 1 wei ng cvcrvUSD bilang collateral, na nilampasan ang insolvency check,” isinulat ng Blocksec sa X.
Kinilala ng Resupply ang breach sa isang pahayag at kinumpirma na ang compromised na kontrata ay na-pause. Ang koponan ay nagsasagawa ng imbestigasyon sa insidente at hindi pa nakumpirma ang anumang mga plano sa pagbawi.
“Isang kumpletong post-mortem ang ibabahagi sa lalong madaling panahon matapos ang isang kumpletong pagsusuri ng sitwasyon,” isinulat ng koponan.
Insider Exploit sa UniBTC Protocol
Samantala, inihayag ng Fuzzland ang isang $2M insider exploit sa UniBTC protocol ng Bedrock. Noong Miyerkules, sinabi ng Fuzzland na ang exploit na ito ay isinagawa ng isang dating empleyado na nagpapanggap bilang MEV developer. Gumamit ang attacker ng social engineering, nagpasok ng malware sa pamamagitan ng isang trojanized Rust crate, at nagpapanatili ng hindi natukoy na access sa mga engineering systems sa loob ng higit sa tatlong linggo.
Pagkalugi sa Crypto Ecosystem
Ang breach ay nagresulta sa pag-exploit ng UniBTC protocol kaagad pagkatapos talakayin ng Fuzzland ang isang security vulnerability. Kapansin-pansin, sa unang tatlong buwan ng 2025, ang crypto ecosystem ay nawalan ng napakalaking $1,635,933,800 sa 39 na insidente, ayon sa blockchain security platform na Immunefi. Karamihan sa mga ito ay resulta lamang ng dalawang hacks ng dalawang centralized exchanges.
Ang Phemex ay nagdanas ng $69.1 milyong pagkawala noong Enero, habang ang Bybit ay nawalan ng $1.46 bilyon noong Pebrero. Kasunod nito, ang kabuuang bilang ng mga pagkalugi sa unang quarter ay nagmarka ng 4.7x na pagtaas kumpara sa Q1 2024. Sa panahong iyon, ang mga hacker at fraudster ay nagnakaw ng $348,251,217.
Karamihan sa mga eksperto ay naniniwala na ang kilalang North Korean Lazarus Group ang nasa likod ng dalawang pinakamalaking atake, na nagnakaw ng $1.52 bilyon, o 94% ng kabuuang pagkalugi.
