В мире децентрализованных финансов (DeFi) безопасность всегда была как разумной, так и хрупкой составляющей успеха проектов. Достаточно одной ошибки в коде или недостатка в процедуре запуска, чтобы потерять миллионы долларов. Именно такой исход испытал протокол ResupplyFi, оказавшийся мишенью старой, но чрезвычайно эффективной атаки на основе ERC4626, которую можно назвать донат-атакой. За два часа после запуска нового рынка злоумышленник извлек почти 9,8 миллиона долларов, используя математические уязвимости и отсутствие защиты от манипуляций с обменным курсом внутри нового типа «пустых» хранилищ (vault). Этот инцидент стал живым напоминанием о том, почему даже самые профессионально выполненные аудиты и голосования по управлению не гарантируют абсолютную безопасность, если забыть о базовых принципах и возможных сценариях эксплуатации.
ResupplyFi стартовал 25 июня 2025 года с большим энтузиазмом в сообществе, объявляя о запуске своей кредитной платформы. Эффективность нового сервиса вызывала доверие: были проведены аудиты и получены положительные отзывы, в том числе и с проверкой от авторитетных фирм. Однако новый рынок, основанный на протоколе ERC4626, был жив лишь пару часов прежде, чем злоумышленник использовал классическую уязвимость, которая уже давно многократно описана в сообществе, но продолжается становится причиной серьезных потерь. Основой атаки стало использование так называемой «донат-атаки» — когда злоумышленник переводит небольшое количество токенов в хранилище, а затем получает взамен долю в нем для создания искусственно раздутой цены актива. В случае ResupplyFi атакующий перевел около 2000 токенов crvUSD непосредственно в контроллер хранилища и затем получил всего 1 wei доли (единицу наименьшей делимости токена).
Это сверхмалое число акций было синхронно связано с искусственно завышенной стоимостью, что вывело на экстремальное увеличение обменного курса между стоимостью активов и количеством выпущенных долей. Математика подсчёта обменного курса работала следующим образом: протокол использовал формулу с делением большого числа (1e36) на цену, получаемую из oracle. При корректно работающем oracle, из-за круглых значений и округления вниз, обменный курс получился равен нулю. Значение обменного курса в «ноль» разрушило всю логику расчёта обеспечения кредита и установило фактически нулевые ограничения на кредиты. В результате атакующий смог положить на залог всего 1 wei и взять в долг все доступные ресурсы протокола — около 10 миллионов долларов в токенах reUSD.
Эксперты и аудиторы быстро зафиксировали и подтвердили ситуацию — это классический пример, когда новые рынки запускаются без достаточного уровня ликвидности и защиты, что ведет к возможности быстрого манипулирования ценами и финансовому краху. Несмотря на все процедуры аудита и внутренние голосования, команда ResupplyFi не предусматривала защиту от вливания «донатов» в новые хранилища, что и сыграло злую шутку. С точки зрения блокчейн-аналитики, средства для атаки были получены через популярный сервис Tornado Cash — миксер, обеспечивающий анонимность транзакций. Злоумышленник подготовился заранее, деплоив два вспомогательных смарт-контракта, которые организовали передачу, обмен средств и все этапы атаки с максимальной точностью и координацией. После атаки ResupplyFi быстро приостановил уязвимый рынок для предотвращения дальнейших потерь, но к тому моменту ущерб уже превысил 9.
8 миллиона долларов. Попытки управления кризисом включали публичное признание проблемы, обещания полного расследования и активное взаимодействие с аудиторскими компаниями, которые, в свою очередь, заявили, что в их сфере ответственности не входили параметры развертки таких vault, а лишь аудит базового кода. Эта сложившаяся ситуация осветила важный аспект современного DeFi — разделение ответственности между аудиторами, разработчиками и операторами. Код может быть технически корректен и пройти все проверки, но неверное развертывание или неправильные системные допущения уже могут привести к уязвимостям. Это подчеркивает необходимость комплексных процедур, включающих тестирование реальных сценариев запуска и релизов, а не только ревью смарт-контрактов в изоляции.
Благодаря поддержке сообщества и компенсационным фондам, включая личный вклад известных разработчиков и проектов, было собрано более 2,8 миллиона на возмещение понесенных пользователями убытков. Однако этот случай ярко демонстрирует повышенный риск децентрализованных финансов: цена ошибок очень высока, а восстановление зачастую зависит от внешних усилий и благотворительной поддержки. ResupplyFi и подобные инциденты являются важным уроком для разработчиков и пользователей DeFi, показывая, что нельзя игнорировать уязвимости, описанные в профильных исследованиях и аудиторских отчётах только из-за видимой сложности или редкости атак. Старые уязвимости, такие как ERC4626 donation attack, остаются актуальными и востребованными среди злоумышленников, присматривающихся к новым «свежим» рынкам с минимальной ликвидностью. Рынок децентрализованных финансов постоянно развивается, внедряются новые стандарты и протоколы.
Однако на практике это означает необходимость не только высококачественного программирования и проведения аудитов, но и тщательного контроля учебных сценариев запуска, формирования резервов и систем быстрой реакции на атаки. Разделение ответственности должно быть ясно оформлено, от финальной проверки контрактов до валидации производственной среды. История ResupplyFi отражает также важность прозрачности и своевременного информирования сообщества о произошедших событиях. Использование открытых блокчейн-данных и сотрудничество с аналитическими и аудиторскими агентствами помогает не только в расследовании, но и в предупреждении будущих инцидентов. В то же время эта ситуация призывает к бдительности каждого участника рынка, осведомлённости о рисках и пониманию, как функционируют стандарты вроде ERC4626.
В заключение, данный случай — это сигнал для всех проектов DeFi о необходимости учитывать в своих операционных и технических процессах не только сложные атаки, но и простые, пошаговые манипуляции. В криптовалютном пространстве, где активности происходят в режиме реального времени, задержки с исправлением или непродуманное делегирование ответственности могут стоить невероятных сумм. Поэтому интеграция комплексных стратегий безопасности, обучение команд и продуманный подход к запуску новых рынков остаются ключевыми инструментами для снижения рисков и укрепления доверия пользователей. Выводы из инцидента ResupplyFi предлагают ценную информацию о том, как избежать повторения подобных катастроф и как сделать DeFi более безопасным и устойчивым для всех участников экосистемы.
