Resupply DeFi漏洞致960万美元被盗 黑客操纵价格触发零汇率缺陷

周四凌晨，去中心化金融（DeFi）协议 Resupply 因智能合约漏洞遭遇重大安全事件，黑客通过操纵代币价格成功盗取价值约960万美元的数字资产。此次攻击凸显了当前加密市场中智能合约风险与价格操纵问题的严重性。

漏洞机制：价格操纵引发零汇率错误

攻击目标为与 Convex Finance 和 Yearn Finance 集成的稳定币平台 Resupply。黑客针对其核心代币 cvcrvUSD 进行价格操控，利用低流动性市场的弱点抬高其市场价格。这一操作触发了 ResupplyPair 合约中的关键缺陷——当价格超过特定阈值时，由于下限除法逻辑不当，系统将内部汇率错误归零。

在汇率为零的情况下，攻击者仅以1 wei的cvcrvUSD作为抵押品，便成功借出大量原生稳定币 reUSD。该操作绕过了平台的破产检查机制，实现无成本套现。

资金清洗与匿名化路径

区块链活动追踪显示，攻击者首先通过 Cow Swap 完成一笔2 ETH的捐赠交易作为切入点。随后，资金经由 Tornado Cash 混合器进行匿名处理，有效隐藏了资金来源。

在完成洗钱后，黑客通过 Curve、Uniswap 等主流去中心化交易所将 reUSD 兑换为 USDC 和 wETH 等主流资产，并分批转移至两个独立以太坊地址存储。

平台应对与行业警示

事件发生后，Resupply 官方迅速确认漏洞存在，并宣布暂停所有相关合约运行，以防止进一步损失。区块链安全公司 Cyvers 高级主管 Hakan Unal 表示：“此类攻击再次暴露了基于外部价格源的借贷协议在极端条件下的脆弱性。”

他建议用户立即从 reUSD 保险库中提取资产，并避免使用受影响产品。目前，该事件已被列入2025年重大安全事件清单。

2025年黑客攻击潮持续升温

Resupply 事件是2025年上半年加密领域最严重的安全事故之一。据区块链取证公司 Chainalysis 数据，自年初以来，全球已有超过23亿美元的加密资产因各类漏洞或攻击被窃，年中累计金额已超过2024年全年总和。

就在数日前，伊朗加密货币交易所 Nobitex 遭遇大规模入侵，黑客窃取逾9000万美元资产，涵盖比特币、以太坊、狗狗币、瑞波币、Solana、波场及 Ton 币等多条链资产。调查发现，该平台与伊斯兰革命卫队（IRGC）附属组织以及胡塞叛军、哈马斯关联网络存在深度联系。

以色列国家反恐融资局（NBCTF）已确认其为向受制裁实体输送资金的重要渠道，包括亲哈马斯媒体机构 Gaza Now、俄罗斯加密交易所 Garantex 及 Bitpapa 等。

此系列事件反映出当前加密生态面临日益复杂的外部威胁，也促使监管机构与开发团队加强协作，推动更严格的审计流程与实时监控机制建立。