В июне 2025 года мир криптовалют вновь встряхнула новость о масштабной атаке на стабилькоин-протокол Resupply, приведшей к потере средств на сумму около 9,5 миллионов долларов. Несмотря на развитие технологий блокчейна и внедрение множества мер безопасности, эта атака продемонстрировала, насколько уязвимы могут оставаться DeFi-продукты при непродуманной логике контрактов и систем оценки стоимости активов. В данной статье подробно рассмотрены обстоятельства взлома, используемые злоумышленником техники, а также выводы, которые можно сделать для предотвращения подобных инцидентов в будущем.Рассматриваемый эксплойт был направлен на уязвимость в контракте ResupplyPair, который используется в смарт-контракте CurveLend для работы с токеном cvcrvUSD — завернутой версией стабилькоина Curve USD (crvUSD), закрепленной на платформе Convex Finance. Этот токен выступал в роли ключевого залогового актива для займа собственного stablecoin платформы — reUSD.
Особенность атаки заключалась в манипуляции стоимостью cvcrvUSD. Злоумышленник направил пожертвования в пул cvcrvUSD, что привело к искусственному раздуванию стоимости токена. Такой рост цены создавал неправдоподобно выгодные условия для заемщика: благодаря завышенной стоимости залогового актива можно было взять большие объемы займа в reUSD по заниженной стоимости обеспечения. В итоге, используя всего 1 wei (минимальная единица эфира) в виде залога cvcrvUSD, атакующий сумел обойти проверку на несостоятельность и получить огромный заем stablecoin'а Resupply.После получения reUSD злоумышленник быстро конвертировал украденные токены в другие криптоактивы на сторонних биржах, что осложнило ситуацию с потенциальным возвратом средств.
В ответ на атаку команда Resupply оперативно приостановила работу затронутого контракта и начала детальное расследование инцидента с целью полного анализа и понимания произошедшего, а также разработки мер по предотвращению подобных ситуаций в будущем.Как показал инцидент, основная уязвимость кроется в логике оценки цены токена внутри CurveLend. Исправленная корректность или введение независимых оракулов данных могут существенно снизить риски манипуляций с ценой залогового актива. Эксперты уже отмечают, что безопасное использование DeFi-протоколов во многом зависит от качества и устойчивости систем ценообразования.Инцидент с Resupply не является единичным примером использования манипуляций и социальных инженерий для кражи активов из децентрализованных платформ.
В 2024 и в первых месяцах 2025 года в криптосфере произошло множество крупных взломов, включая атак на централизованных биржах и протоколах, связанных с биткоином и эфириумом. Рост числа таких инцидентов подчеркивает необходимость постоянного совершенствования безопасности и повышения доверия в экосистеме.DeFi сектор развивается стремительными темпами, привлекая значительные капиталы и создавая инновационные финансовые инструменты, но вместе с этим появляются новые угрозы, требующие комплексного подхода к их предотвращению. Успех проектов сегодня во многом зависит от качества безопасной архитектуры и прозрачности процессов управления рисками.Значимость инцидента с Resupply заключается в том, что он еще раз подчеркнул критическую важность точного ценообразования и надежных механизмов проверки залогов в протоколах займа.
Уязвимость, связанная с завышением стоимости токена, позволила злоумышленнику получить доступ к огромным суммам активов, что повлекло за собой серьезные финансовые потери и подрыв доверия к проекту.Команда проекта, несмотря на ущерб, проявила оперативность, быстро заморозив проблемный контракт и начав аудит ситуации. Подобный подход к управлению кризисом является положительным примером для других DeFi-проектов, показывая важность готовности к быстрому реагированию при обнаружении аномалий.В заключение стоит отметить, что данная атака служит предупреждением для всей криптосреды. Уязвимости в смарт-контрактах, особенно в компонентах, отвечающих за ценообразование и залоговые механизмы, требуют максимального внимания и тщательной проверки.
