Децентралізований протокол Resupply став жертвою атаки, в результаті котрої зловмиснику вдалося вивести 9,6 млн $ шляхом маніпуляції обмінним курсом. Інцидент, що зачепив ринок токена wstUSR, підтверджує: DeFi і надалі вразливий до нападів у низьколіквідних пулах.
У четвер стало відомо, що смартконтракт wstUSR було зламано через обхід механізмів перевірки забезпечення — зловмисник “позичив” велику кількість reUSD, використовуючи мізерну заставу. Як виявили CertiK, Cyvers та BlockSec Phalcon, уразливість була пов’язана з маніпуляцією обмінним курсом на ринку з низькою ліквідністю. Злочинні кошти були конвертовані в ETH та розподілені на дві адреси.
> “Ще один лендинговий протокол зламано через маніпуляцію курсом на ринку з нульовою ліквідністю,” — прокоментували в BlockSec.
Атака фінансувалася через Tornado Cash, а ціну reUSD тимчасово розхитало. Утім, курс швидко стабілізувався. Загальна сума активних позик у reUSD, за даними сайту Resupply, складає 67 млн $.
Resupply — DeFi-протокол, що дозволяє позичати reUSD під заставу таких стейблкоїнів, як crvUSD та frxUSD. При цьому користувачі отримують reUSD для повторного використання у децентралізованих фінансах. Атака стала черговою у ланцюжку зламів подібного типу — раніше в цьому ж році понад 9 млн $ втратила інша платформа, zkLend, котра зараз завершує роботу і планує компенсувати користувачам 200 000 $ із залишків скарбниці.
Атака на Resupply підкреслює системну проблему DeFi — низьколіквідні ринки залишаються слабким місцем для більшості децентралізованих протоколів. Навіть якщо механізм виглядає безпечним, зловмисники можуть використати відсутність глибини ринку, аби здійснити масштабну експлуатацію. Команди мають зосередитись не лише на безпеці коду, а й на економічних атаках, які дедалі частіше стають вирішальними.
