Cuộc Khai Thác Stablecoin Resupply
Nền tảng stablecoin Resupply đã trải qua một cuộc khai thác lớn trị giá 9,5 triệu USD sau khi một kẻ tấn công thao túng giá của một token thế chấp chính, theo báo cáo từ các công ty bảo mật. Cuộc tấn công này nhắm vào cvcrvUSD, một phiên bản wrapped của Curve USD (crvUSD) được stake trên Convex Finance.
Kẻ tấn công đã gửi tiền quyên góp vào kho cvcrvUSD, từ đó làm tăng giá cổ phần của token này. Giá tăng này sau đó được sử dụng làm tài sản thế chấp để vay stablecoin gốc của Resupply, reUSD, với tỷ giá hối đoái rất thuận lợi. Kẻ tấn công đã lợi dụng giá bị thao túng trong hợp đồng CurveLend.
Hợp đồng thông minh liên quan của Resupply, ResupplyPair (CurveLend: crvUSD/wstUSR), đã sử dụng giá cvcrvUSD bị thao túng trong các phép tính của nó. Khi kẻ tấn công vay reUSD, tỷ giá hối đoái bị thao túng đã sụp đổ, dẫn đến sự giảm giá lớn của dự trữ của giao thức.
Các nhà phân tích tại Blocksec lưu ý rằng kẻ tấn công chủ yếu đã rút tiền từ thị trường wstUSR bằng cách khai thác logic giá sai trong chức năng vay. Số reUSD bị đánh cắp sau đó đã nhanh chóng được chuyển đổi thành các tài sản crypto khác trên các thị trường bên ngoài.
“Kết quả là, kẻ tấn công đã vay một lượng lớn reUSD chỉ với 1 wei cvcrvUSD làm tài sản thế chấp, vượt qua kiểm tra khả năng thanh toán,” Blocksec viết trên X.
Resupply đã thừa nhận vụ vi phạm trong một tuyên bố và xác nhận rằng hợp đồng bị xâm phạm đã bị tạm dừng. Nhóm đang điều tra sự cố và chưa xác nhận bất kỳ kế hoạch phục hồi nào. “Một báo cáo toàn diện sẽ được chia sẻ ngay khi một phân tích hoàn chỉnh về tình hình được thực hiện,” nhóm viết.
Vụ Khai Thác Nội Bộ Giao Thức UniBTC
Fuzzland tiết lộ vụ khai thác nội bộ 2 triệu USD trên giao thức UniBTC của Bedrock. Vào thứ Tư, Fuzzland đã tiết lộ rằng một vụ khai thác trị giá 2 triệu USD nhắm vào giao thức UniBTC của Bedrock vào tháng 9 năm 2024 đã được thực hiện bởi một cựu nhân viên giả mạo là một nhà phát triển MEV.
Kẻ tấn công đã sử dụng kỹ thuật xã hội, chèn mã độc thông qua một gói Rust bị trojan hóa, và duy trì quyền truy cập không bị phát hiện vào các hệ thống kỹ thuật trong hơn ba tuần. Vụ vi phạm đã culminated trong việc giao thức UniBTC bị khai thác ngay sau khi Fuzzland thảo luận về một lỗ hổng bảo mật.
Đáng chú ý, trong ba tháng đầu năm 2025, hệ sinh thái crypto đã mất tới 1.635.933.800 USD trên 39 sự cố, theo nền tảng bảo mật blockchain Immunefi. Hầu hết số đó là kết quả của chỉ hai vụ hack của hai sàn giao dịch tập trung. Phemex đã chịu thiệt hại 69,1 triệu USD vào tháng 1, trong khi Bybit mất 1,46 tỷ USD vào tháng 2. Tổng số thiệt hại trong quý đầu tiên đã tăng 4,7 lần so với Q1 2024.
Vào thời điểm đó, các hacker và kẻ lừa đảo đã đánh cắp 348.251.217 USD. Đáng chú ý, các chuyên gia cho rằng nhóm Lazarus nổi tiếng của Triều Tiên đứng sau hai cuộc tấn công lớn nhất, với tổng số tiền bị đánh cắp lên tới 1,52 tỷ USD, tương đương 94% tổng thiệt hại.
