周四凌晨，一名黑客利用 Resupply 去中心化金融 (DeFi) 协议中的漏洞，成功窃取了价值近 960 万美元的数字资产。据分析，攻击者通过操纵代币价格并利用智能合约缺陷完成了此次攻击。

区块链安全分析师表示，攻击目标是与 Convex Finance 和 Yearn Finance 集成的稳定币平台 Resupply。黑客针对与 Convex 挂钩的代币 cvcrvUSD 进行了价格操纵，以欺骗系统，并用几乎毫无价值的抵押品获取贷款。

智能合约漏洞导致汇率为零

此次漏洞的核心问题出在周四部署于以太坊地址的 ResupplyPair 合约（“0x6e…6bd6″）。该合约使用 cvcrvUSD 的价格来计算抵押贷款的内部汇率。

又一个通过操纵低流动性（甚至是空的）市场的汇率来利用的借贷协议！

具体来说，攻击者人为夸大了#cvcrvUSD的股价。@ResupplyFi的 ResupplyPair 合约（https://t.co/yo2N5lScHi（创建于约 2 小时前）使用...https://t.co/MelEYFLr98 pic.twitter.com/2qXC9IiREL

— BlockSec Phalcon (@Phalcon_xyz) 2025年6月26日

攻击者通过协调捐赠交易抬高 cvcrvUSD 代币的价格。随着代币价格飙升，ResupplyPair 合约中的价格输入也随之上涨。然而，该协议代码存在缺陷，尤其是下限除法的使用，导致汇率在价格超过测量阈值后被错误地舍入为零。

在汇率归零的情况下，攻击者仅以 1 wei 的 cvcrvUSD 作为抵押，成功借入了 Resupply 的原生稳定币 reUSD。这一操作绕过了平台依赖的破产检查。

区块链风险公司 Cyvers 的高级安全运营主管 Hakan Unal 表示：“攻击者通过操纵代币价格触发 Resupply 智能合约中的漏洞（零汇率），从而轻松借走了巨额资金。”

Tornado Cash 用于交易匿名

区块链活动显示，黑客最初通过 Tornado Cash（一种去中心化隐私协议混合器）向钱包注资，以隐藏资金来源。根据区块链安全公司 PeckShield 的分析，此次攻击的切入点是 Cow Swap 上的一笔涉及 2 ETH 的交易。

在违规发生后，黑客通过 Curve 和 Uniswap（均为去中心化交易所）将 reUSD 转换为稳定币和以太坊，从而清算了被盗资产。

最终，960 万美元的收益被分散到两个不同的以太坊地址中，并以 USDC 和包装以太坊 (wETH) 的形式存储。

当天晚些时候，Resupply 确认了此次漏洞，并承认其 wstUSR 市场受到影响。平台立即暂停了所有合约，以防止进一步损失。

Hakan Unal 建议投资者：“用户应避免使用 reUSD 保险库，并尽可能提取资金。”

2025 年加密货币相关黑客攻击猖獗

Resupply 的泄密事件是近期一系列针对去中心化金融及中心化平台的高价值黑客攻击之一。区块链取证公司 Chainalysis 报告称，自 2025 年初以来，已有超过 23 亿美元的加密货币被盗，年中数据已超过去年总额。

就在 Resupply 事件发生前几天，伊朗加密货币交易所 Nobitex 于 6 月 18 日遭遇毁灭性入侵。黑客窃取了多个区块链上价值超过 9000 万美元的数字资产，包括比特币、以太坊、狗狗币、瑞波币、Solana、波场币和 Ton 币。

调查显示，Nobitex 的钱包与伊斯兰革命卫队 (IRGC) 附属行为者以及与也门胡塞叛军和哈马斯特工相关的网络有关。

以色列国家反恐融资局 (NBCTF) 已确认该平台是向多家受制裁实体提供资金的渠道，包括亲哈马斯媒体机构 Gaza Now、受制裁的俄罗斯加密货币交易所 Garantex 和 Bitpapa。

KEY 差异线帮助加密货币品牌快速突破并占据头条新闻