subDAO Resupply втратив $9.5M внаслідок експлуатації - Unchained

Resupply, децентралізований протокол стейблкоїнів, що функціонує як субDAO як Convex Finance, так і Yearn Finance, втратив приблизно 9,5 мільйона доларів у результаті експлойту в середу, згідно з даними кількох блокчейн-безпекових компаній.

Команда BlockSec спочатку виявила експлойт через акаунт X своєї платформи Phalcon, після чого кілька дослідників визначили, що корінна причина полягає в контракті ResupplyPair, який використовує порожній обгортку ERC-4626 як ціновий оркул.

Ця історія є уривком з щоденного інформаційного бюлетеня Unchained.

Підпишіться тут, щоб отримувати ці оновлення на вашу електронну пошту безкоштовно

ERC-4626 - це стандарт токенізованих сейфів для Ethereum, який забезпечує стандартизований інтерфейс для сейфів, що приносять дохід. Коли порожній сейф ERC-4626 використовується як ціновий оракул, він повідомляє неточні ціни.

В результаті, зловмисник, ймовірно, зміг маніпулювати обмінним курсом до нуля і дозволити неконтрольоване запозичення величезних кількостей токенів.

Згідно з аналізом атаки одного інженера, нападник використав лише 2 crvUSD, щоб позичити 10 мільйонів reUSD.