一名黑客从Resupply，一个与主要DeFi参与者Convex Finance和Yearn Finance相关的去中心化稳定币协议中窃取了960万美元。他们通过操纵代币价格来利用该平台汇率计算中的一个关键漏洞。

攻击者通过在一个极其薄弱的市场中进行有针对性的“捐赠”，人为地抬高了cvcrvUSD（CurveUSD的Curve Vault）代币的价格。然后，他们利用这一操控的价格，以仅一wei的抵押品借入近1000万美元的reUSD代币，具体情况根据区块链安全公司Phalcon的说法。

这一漏洞是今年一系列重大加密安全事件中的最新一起，已使该行业损失超过21亿美元，尽管安全意识不断提高，但去中心化金融协议仍存在持续的漏洞。

“攻击者操纵了代币价格，触发了Resupply智能合约中的一个漏洞（零汇率），让他们几乎不花任何代价就能借到大量资金，”Cyvers的高级安全运营负责人Hakan Unal告诉Decrypt。

这一零汇率使攻击者完全绕过了偿付能力检查，以微不足道的抵押品借入巨额资金。

在获得贷款后，他们迅速通过Curve和Uniswap将代币兑换为USDC和包裹以太坊，获得了950万美元的利润。

“用户应避免使用reUSD金库，并在可能的情况下提取资金，”Unal建议道。

来自PeckShield的额外分析揭示了攻击的切入点：一笔涉及2 ETH的Cow Swap交易，随后通过匿名的币混合器Tornado Cash进行匿名处理。

Cow Swap是一个去中心化交易所，允许用户在没有前置保护的情况下交易加密货币。攻击者最终从该协议中提取了约1581 ETH。

“Resupply在wstUSR市场经历了一次漏洞，”该平台通过其官方X账户确认了这一漏洞。“受影响的合约已被识别并暂停。只有wstUSR市场受到影响，协议继续按预期运行。”

该平台宣布已暂停受影响的市场，同时在其他地方保持正常运营，并承诺“将在对情况进行全面分析后尽快分享完整的事后分析。”

CertiK报告称，攻击者将约556万美元转移到一个地址，400万美元转移到另一个地址，将被盗资金集中在两个钱包中，分别包含2200 ETH和1600 ETH。

Resupply的漏洞继续了今年重大加密事件的令人担忧的模式。

就在一周多前，伊朗加密货币交易所Nobitex遭遇了4900万美元的漏洞，该事件归因于亲以色列的黑客组织“Gonjeshke Darande”。

该组织使用挑衅性命名的钱包地址，有效地烧毁了被盗资金，以表达政治声明，而不是从盗窃中获利。

编辑：Stacy Elliott。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。