Das dezentrale Stablecoin-Protokoll Resupply hat einen Verlust von 9,5 Millionen Dollar erlitten, nachdem ein Angreifer die Tokenpreise manipuliert hat, um die Wechselkurse zu verzerren und Mittel abzuziehen.
Der Exploit wurde erstmals am 25. Juni von der Sicherheitsplattform BlockSec Phalcon identifiziert, die eine verdächtige Transaktion im Zusammenhang mit dem Diebstahl markierte. Resupply bestätigte den Vorfall auf X und erklärte, dass der kompromittierte Smart Contract – beschränkt auf seinen wstUSR-Markt – pausiert wurde. Das Team versicherte, dass das Kernprotokoll nicht betroffen sei und eine detaillierte Nachuntersuchung im Gange sei.
Erste Analysen von Sicherheitsforschern deuten darauf hin, dass der Angreifer die geringe Liquidität ausnutzte, um die Preise zu manipulieren. Das Ziel war cvcrvUSD, eine verpackte Version des crvUSD-Tokens von Curve DAO, die über Convex Finance gestakt wird. Durch kleine Spenden erhöhte der Angreifer künstlich den Anteilspreis des Tokens. Da die Wechselkursformel von Resupply auf diesem aufgeblähten Preis basierte, war das System ungeschützt.
Ein vollständiger technischer Bericht wird erwartet, sobald die Untersuchung abgeschlossen ist.
