Een nieuwe aanval op een DeFi platform zorgt voor onrust in de sector. Resupply, een protocol dat draait op het ecosysteem van Yearn en Convex, is getroffen door een slimme exploit waarbij voor miljoenen dollars aan fondsen werd buitgemaakt.
Slimme truc met prijsmanipulatie kost Resupply miljoenen
Vanochtend ontdekte het detectiesysteem van Cyvers een verdachte transactie op ResupplyFi. Een aanvaller manipuleerde de prijs van cvcrvUSD en zorgt ervoor dat de exchange rate van een zogeheten ResupplyPair op nul terechtkwam. Dit gebeurde door misbruik te maken van een floor division fout in het smart contract.
Door deze manipulatie lukte het de hacker om voor slechts 1 wei aan onderpand gigantische hoeveelheden reUSD te lenen. De schade loopt op tot zo’n $9.8 miljoen, waarvan het grootste deel afkomstig is uit de spaarmarkt van crvUSD.
De buit wordt direct omgezet in Ethereum en verdeeld over twee adressen, waarvan één duidelijk is gefinancierd via Tornado Cash, een bekende mixer voor het verhullen van transacties.
Alleen wstUSR markt geraakt, platform blijft operationeel
ResupplyFi reageert snel via X: het getroffen contract in de wstUSR markt is onmiddellijk gepauzeerd. Volgens het protocol is dit het enige onderdeel dat geraakt is, en blijven andere delen van het systeem gewoon functioneren. Ze kondigen ook aan binnenkort met een volledige analyse te komen.
De aanval richt zich uitsluitend op een specifieke markt binnen het protocol, waardoor het bredere systeem, dat stablecoins en liquiditeit beheert binnen Yearn en Convex, voorlopig stabiel blijft draaien. Toch roept het incident opnieuw vragen op over de veiligheid van DeFi smart contracts.
Schadestatistieken en betrokken adressen
Volgens gegevens van Cyvers raakt het platform ruim $9.8 miljoen aan crvUSD kwijt. De hacker, opererend via het adres 0x6d9f6e weet 803 ETH te bemachtigen, ter waarde van zo’n $2 miljoen, en haalt ook nog eens $3.6 miljoen aan USDC binnen.
In totaal wordt er voor meer dan $9.89 miljoen buitgemaakt in deze aanval. Opvallend is dat er slechts enkele adressen nodig waren om de aanval uit te voeren via een malafide smart contract.
Blijf altijd op de hoogte van het laatste crypto nieuws via Google Nieuws.
Ontvang 10 euro gratis Ethereum
Jouw cryptoavontuur starten met €10 gratis Ether? In samenwerking met Bitvavo mogen wij vandaag 10 euro aan gratis Ethereum of een andere crypto weggeven aan onze lezers (na een storting van minimaal 10 euro).
Maak via onderstaande knop een account aan en je ontvangt een welkomstbonus van 10 euro. Ook handel je de eerste €10.000 binnen de eerste 7 dagen na je registratie helemaal gratis (t.w.v. €25). Alle voorwaarden vind je op de pagina onder de knop.