Resupply bị hack, thiệt hại hơn 9,5 triệu USD

Cơ chế hoạt động của Resupply và điểm yếu bị khai thác

Resupply là một giao thức phát hành stablecoin có tên reUSD, sử dụng các tài sản staking như cvcrvUSD làm tài sản thế chấp. CvcrvUSD là phiên bản wrapped của stablecoin crvUSD (thuộc Curve Finance), đã được stake trên Convex Finance để nhận lãi suất.

Tuy nhiên, theo các nhà phân tích bảo mật, hacker đã lợi dụng cơ chế định giá share token trong hệ thống Resupply để thực hiện thao túng.

Hacker thổi giá token thế chấp và vay ra hàng triệu USD

Theo công ty bảo mật PeckShield, hacker đã thực hiện một loạt thao tác "donation" vào vault cvcrvUSD – khiến giá trị share của token này tăng vọt một cách bất thường. Smart contract của Resupply (hợp đồng ResupplyPair: CurveLend crvUSD/wstUSR) đã lấy giá này làm tỷ giá hoán đổi, dẫn đến hệ thống hiểu rằng 1 wei của cvcrvUSD có giá trị thế chấp rất lớn.

Lợi dụng cơ chế này, hacker đã kích hoạt hàm borrow() và vay được tới 10 triệu reUSD chỉ với 1 wei tài sản thế chấp.

Ngay sau đó, reUSD bị rút khỏi hệ sinh thái và chuyển đổi sang các tài sản khác trên các sàn phi tập trung, tạo ra tổn thất thực tế ước tính hơn 9,5 triệu USD.

Đội ngũ Resupply đã xác nhận sự cố, cho biết hợp đồng bị khai thác đã được xác định và tạm dừng hoạt động để ngăn chặn thiệt hại lan rộng. Tuy nhiên, chưa có thông báo cụ thể nào về kế hoạch xử lý tổn thất, khôi phục hệ thống hay bồi thường cho người dùng.

🚨TenArmor Security Alert🚨

Our system has detected a suspicious attack involving #Resupply @ResupplyFi on #ETH , resulting in an approximately loss of $9.4M.

Attack transaction: https://t.co/i65o8da82j

With TenArmor’s TenMonitor, you get early detection and automated response… pic.twitter.com/P0HxciFBYu

— TenArmorAlert (@TenArmorAlert) June 26, 2025

Tổng kết

Vụ hack của Resupply không phải là trường hợp đầu tiên trong DeFi mà cơ chế định giá tài sản staking bị khai thác. Các giao thức trước đây như Beanstalk, MIM hay Alpha Homora cũng từng gặp tình trạng tương tự khi:

• Giá tài sản staking bị thao túng tạm thời thông qua donation, flashloan hoặc liquidity skew.
• Hệ thống sử dụng giá trị share token làm tham chiếu trực tiếp mà không có giới hạn biên độ hay oracle độc lập.
• Thiếu lớp kiểm tra rủi ro (risk validation) trước khi cho vay hoặc phát hành tài sản thế chấp.

Từ góc nhìn bảo mật, sự cố Resupply một lần nữa cho thấy ranh giới mong manh giữa cơ chế tự động (automated lending) và rủi ro hệ thống khi không có lớp phòng vệ hợp lý.

Đọc thêm:

• Loopscale thu hồi được 2,8 triệu USD sau vụ hack 5,7 triệu USD
• KiloEx thông báo bồi thường cho người dùng sau vụ hack 7,5 triệu USD
• Hacker Bybit rửa sạch hàng trăm triệu USD: Bí ẩn phía sau những giao dịch mờ ám