El protocolo de moneda estable descentralizada que recientemente fue afectado por un exploit de varios millones de dólares ha presentado un plan de recuperación formal para abordar las consecuencias.
Según el último anuncio de Resupply, el plan de recuperación se centrará en estabilizar las finanzas del protocolo y apoyar a los usuarios afectados.
En el núcleo del plan hay una propuesta para quemar $6 millones de reUSD del fondo de seguros del protocolo, que actualmente posee alrededor de $38.7 millones. La explotación, que tuvo lugar el 25 de junio de 2025, resultó en pérdidas que alcanzaron los $10 millones. De esto, el protocolo enfatizó que $2.87 millones ya han sido reembolsados por el tesoro y los socios, dejando aproximadamente $7.13 millones.
La quema propuesta de seis millones cubriría la mayor parte de esa deuda, mientras que el restante $1.13 millones sería asumido por el DAO y se pagaría gradualmente utilizando fuentes de ingresos futuras como tarifas de protocolo o posibles ventas de tokens RSUP.
Todas las acciones en el plan de recuperación están sujetas a votación de gobernanza. Para acelerar la implementación, el equipo está proponiendo un período de votación reducido de tres días, en lugar de los habituales siete.
Si se aprueba, la quema de tokens se llevará a cabo de inmediato, y los retiros del fondo de seguros, que se pausaron después de la explotación, podrían reanudarse dentro de la ventana de enfriamiento original de siete días.
Cómo ocurrió la explotación de Reabastecimiento
Según el informe post-mortem del protocolo, el atacante explotó una vulnerabilidad en el mercado crvUSD-wstUSR. La explotación fue posible porque el vault de CurveLend subyacente no tenía depósitos previos, lo que permitió al atacante manipular cómo se calculaba el valor de la acción.
Al donar una gran cantidad de crvUSD a la bóveda y acuñar solo 1 wei de acciones, el atacante infló artificialmente los precios para hacer que el colateral pareciera más valioso que el depósito real.
Mientras que el oráculo informó correctamente el valor inflado, un problema de redondeo en el cálculo del tipo de cambio del contrato hizo que el valor se resolviera en cero. Este valor cero rompió la verificación de solvencia del protocolo, haciendo que cada solicitud de préstamo pareciera segura. Con el bypass, el atacante pudo pedir prestado hasta el límite total de deuda de $10 millones de reUSD del par.
Resupply destacó que el esquema no era un ataque de inflación típico, sino un diseño más específico y sofisticado destinado a anular la lógica de solvencia.
“El flujo de la explotación involucró la inflación de las acciones de colateral de CurveLend, pero difería de un ‘ataque de inflación’ clásico ya que fue diseñado cuidadosamente para anular un chequeo de solvencia del prestatario,” declaró Resupply.
El equipo añadió que los fondos robados permanecen en la cadena y se están monitoreando activamente. Además, se implementarán medidas de seguridad más estrictas en el futuro para defenderse permanentemente contra exploits similares.
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
El protocolo de reabastecimiento describe el plan de recuperación después de un exploit de $10 millones, propone una quema de tokens de $6 millones.
El protocolo de moneda estable descentralizada que recientemente fue afectado por un exploit de varios millones de dólares ha presentado un plan de recuperación formal para abordar las consecuencias.
Según el último anuncio de Resupply, el plan de recuperación se centrará en estabilizar las finanzas del protocolo y apoyar a los usuarios afectados.
En el núcleo del plan hay una propuesta para quemar $6 millones de reUSD del fondo de seguros del protocolo, que actualmente posee alrededor de $38.7 millones. La explotación, que tuvo lugar el 25 de junio de 2025, resultó en pérdidas que alcanzaron los $10 millones. De esto, el protocolo enfatizó que $2.87 millones ya han sido reembolsados por el tesoro y los socios, dejando aproximadamente $7.13 millones.
La quema propuesta de seis millones cubriría la mayor parte de esa deuda, mientras que el restante $1.13 millones sería asumido por el DAO y se pagaría gradualmente utilizando fuentes de ingresos futuras como tarifas de protocolo o posibles ventas de tokens RSUP.
Todas las acciones en el plan de recuperación están sujetas a votación de gobernanza. Para acelerar la implementación, el equipo está proponiendo un período de votación reducido de tres días, en lugar de los habituales siete.
Si se aprueba, la quema de tokens se llevará a cabo de inmediato, y los retiros del fondo de seguros, que se pausaron después de la explotación, podrían reanudarse dentro de la ventana de enfriamiento original de siete días.
Cómo ocurrió la explotación de Reabastecimiento
Según el informe post-mortem del protocolo, el atacante explotó una vulnerabilidad en el mercado crvUSD-wstUSR. La explotación fue posible porque el vault de CurveLend subyacente no tenía depósitos previos, lo que permitió al atacante manipular cómo se calculaba el valor de la acción.
Al donar una gran cantidad de crvUSD a la bóveda y acuñar solo 1 wei de acciones, el atacante infló artificialmente los precios para hacer que el colateral pareciera más valioso que el depósito real.
Mientras que el oráculo informó correctamente el valor inflado, un problema de redondeo en el cálculo del tipo de cambio del contrato hizo que el valor se resolviera en cero. Este valor cero rompió la verificación de solvencia del protocolo, haciendo que cada solicitud de préstamo pareciera segura. Con el bypass, el atacante pudo pedir prestado hasta el límite total de deuda de $10 millones de reUSD del par.
Resupply destacó que el esquema no era un ataque de inflación típico, sino un diseño más específico y sofisticado destinado a anular la lógica de solvencia.
“El flujo de la explotación involucró la inflación de las acciones de colateral de CurveLend, pero difería de un ‘ataque de inflación’ clásico ya que fue diseñado cuidadosamente para anular un chequeo de solvencia del prestatario,” declaró Resupply.
El equipo añadió que los fondos robados permanecen en la cadena y se están monitoreando activamente. Además, se implementarán medidas de seguridad más estrictas en el futuro para defenderse permanentemente contra exploits similares.