Utnyttjande av Resupply Stablecoin-plattform
Stablecoin-plattformen Resupply har drabbats av ett allvarligt utnyttjande värt 9,5 miljoner dollar, efter att en angripare manipulerade priset på en nyckel-kollateral token, enligt rapporter från säkerhetsföretag. Attacken riktade sig mot cvcrvUSD, en inslagen version av Curve USD (crvUSD) som stakades på Convex Finance.
Genom att skicka donationer till cvcrvUSD-valvet lyckades angriparen inflatera tokenens andelspris. Detta manipulerade pris användes sedan som säkerhet för att låna Resupplys inhemska stablecoin, reUSD, till en mycket fördelaktig växelkurs. Utnyttjandet av Resupply var kopplat till manipulerad prisinformation i CurveLend-kontraktet.
Det Resupply-smartkontrakt som var involverat, ResupplyPair (CurveLend: crvUSD/wstUSR), använde det manipulerade cvcrvUSD-priset i sina beräkningar. När angriparen väl hade lånat reUSD kollapsade den manipulerade växelkursen, vilket ledde till en betydande nedvärdering av protokollets reserver.
”Som ett resultat lånade angriparen enorma mängder reUSD med endast 1 wei av cvcrvUSD som säkerhet, vilket kringgick insolvenskontrollen,” skrev Blocksec på X.
Resupply bekräftade intrånget i ett uttalande och meddelade att det komprometterade kontraktet har pausats. Teamet utreder incidenten och har ännu inte bekräftat några återhämtningsplaner. ”En fullständig efteranalys kommer att delas så snart en komplett analys av situationen har genomförts,” skrev teamet.
Insiderutnyttjande av Fuzzland
Fuzzland avslöjar ett insiderutnyttjande på 2 miljoner dollar riktat mot Bedrocks UniBTC-protokoll. På onsdagen avslöjade Fuzzland att ett utnyttjande värt 2 miljoner dollar, som riktade sig mot Bedrocks UniBTC-protokoll i september 2024, utfördes av en tidigare anställd som utgav sig för att vara en MEV-utvecklare.
Angriparen använde social ingenjörskonst, införde skadlig programvara via en trojaniserad Rust-crate och upprätthöll oetisk åtkomst till ingenjörssystem i över tre veckor. Intrånget kulminerade i att UniBTC-protokollet utnyttjades strax efter att Fuzzland diskuterade en säkerhetsbrist.
Noterbart är att under de första tre månaderna av 2025 förlorade kryptovalutaekosystemet hela 1 635 933 800 dollar över 39 incidenter, enligt blockchain-säkerhetsplattformen Immunefi. Det mesta av detta var resultatet av endast två hack av två centraliserade börser. Phemex drabbades av en förlust på 69,1 miljoner dollar i januari, medan Bybit förlorade 1,46 miljarder dollar i februari.
Följaktligen markerar det totala antalet förluster under första kvartalet en ökning med 4,7 gånger jämfört med Q1 2024. Vid den tiden stals 348 251 217 dollar av hackare och bedragare. Noterbart är att experter misstänker att den beryktade nordkoreanska Lazarus-gruppen ligger bakom de två största attackerna, där de stal 1,52 miljarder dollar, eller 94 % av de totala förlusterna.
