Hacker drena casi $ 9.6 millones del protocolo de reabastecimiento DeFi stablecoin

Un pirata informático que medentuna falla en el protocolo de finanzas descentralizadas (DeFi) de reabastecimiento de reabastecimiento que los ayudó a desviar a casi $ 9.6 millones en activos digitales. Según los informes, el atacante manipuló los precios de los tokens a través de una vulnerabilidadtrac.

Según los analistas de seguridad de Blockchain, Reupply, una plataforma DeFi Stablecoin integrada con finanzas convexas y finanzas anhelantes, fue el objetivo principal de la exploit. El atacante utilizó una elaborada táctica de manipulación de precios en CVCRVUSD, un token atado a convexo, para engañar al sistema y obtener un préstamo utilizando garantías prácticamente sin valor.

Smart Contract Bug conduce a cero tasa de cambio

El punto principal de la violación se encontró en el contenido de resumia trac desplegado el jueves en la dirección Ethereum " 0x6e ... 6bd6" . El trac utilizó el precio de CVCRVUSD para calcular un tipo de cambio interno para los préstamos garantizados.

Otro protocolo de préstamo explotado a través de la manipulación del tipo de cambio en la baja liquidez, incluso los mercados vacíos.

Específicamente, los atacantes inflaron artificialmente #CVCRVUSD a través de donaciones. @Resupplyfi 'S RESPPLYPAIR CON trac T ( https://t.co/yo2n5lschi , creado ~ 2h hace) usa ... https://t.co/meleyflr98 pic.twitter.com/2qxc9iirel

- BlockSec Phalcon (@PhalCon_xyz) 26 de junio de 2025

El atacante utilizó esta dependencia inflando artificialmente el precio del token CVCRVUSD a través de transacciones de donación coordinadas. Cuando el valor del token aumentó, la entrada de precio en el regumypair setrac. 

Sin embargo, un defecto en el código del protocolo, específicamente el uso de la división de piso, provocó que el tipo de cambio redujera a cero una vez que el precio pasó más allá de un umbral medido.

Con el tipo de cambio establecido en cero, el atacante pudo pedir prestado una cantidad masiva de stablecoin nativo de Reupply, Reusd, utilizando solo 1 wei de cvcrvusd como garantía. Las verificaciones de insolvencia de la plataforma, que dependen de este tipo de cambio, fueron evitados efectivamente.

" El atacante manipuló los precios del token, lo que provocó un error (tipo de cambio cero) en el Smart Contrac t de ResuPply trac permitiéndoles pedir prestado una tonelada de dinero por casi nada ", explicó Hakan Unal, lidera de operaciones de seguridad de alto nivel en Cyvers de firma de riesgo de blockchain.

Tornado Cash utilizado para el anonimato de transacción

La actividad de Blockchain muestra que el hacker inicialmente financió su billetera a través de Tornado Cash, un mezclador de protocolo de privacidad descentralizado que los delincuentes usan para ocultar el origen de los fondos. El punto de entrada del ataque fue una transacción en el intercambio de vacas que involucra 2 ETH, según un análisis de la firma de seguridad de blockchain Peckshield.

Después de la violación, liquidaron los activos robados al convertir REUSD en stablecoins y Ethereum a través de la curva y uniswap, ambos intercambios descentralizados. 

Los $ 9.6 millones en ganancias se dividieron en dos direcciones Ethereum separadas. El atacante usó USDC y Ethereum envuelto (Weth) para almacenar los ingresos finales.

Más tarde en el día, el reabastecimiento confirmó la violación y admitió que la exploit había afectado su mercado WSTUSR. La plataforma inmediatamente detuvo todos lostracpara evitar más daños.

" Los usuarios deben evitar las bóvedas de reusd y retirar fondos si es posible ", aconsejó a los inversores que usan el protocolo.

Los trucos relacionados con cripto en 2025 se vuelven desenfrenados

La violación de reabastecimiento se suma a una cadena de hacks de alto valor dirigido tanto a las finanzas descentralizadas como a las plataformas centralizadas. La firma forense de Blockchain, Chainalysis informa que más de $ 2.3 mil millones ya han sido robados en hacks criptográficos desde el comienzo de 2025, una cifra que supera el total del año pasado a mitad de año.

Pocos días antes de que el incremento de reabastecimiento dent el 18 de junio, el intercambio de criptomonedas con sede en Irán, Nobitex sufriera una violación devastadora. Los piratas informáticos se fueron con más de $ 90 millones en activos digitales de varias blockchains, incluidas Bitcoin , Ethereum , Dogecoin , Ripple , Solana , Tron y Ton.

Investigaciones anteriores han vinculado las billeteras en Nobitex con los actores afiliados al Cuerpo de la Guardia Revolucionaria Islámica (IRGC), y las redes vinculadas a los rebeldes hutíes en los agentes de Yemen y Hamas.

La Oficina Nacional para el Financiamiento contra el Terror (NBCTF) de Israel hadentque la plataforma sea un conducto para fondos para varias entidades sancionadas. Estos incluyen el medio de comunicación de los medios de comunicación Gaza ahora, un supuesto brazo de propaganda de Al-Qaeda, y los intercambios de criptomonedas rusos sancionados Garantex y Bitpapa. 

Key Difference Wire ayuda a las marcas criptográficas a romper y dominar los titulares rápidamente