Le protocole de réapprovisionnement décrit le plan de récupération après l'exploitation de 10 millions de dollars, propose une combustion de jetons de 6 millions de dollars.
Le protocole de stablecoin décentralisé récemment frappé par une exploitation de plusieurs millions de dollars a présenté un plan de récupération formel pour traiter les conséquences.
Selon la dernière annonce de Resupply, le plan de récupération se concentrera sur la stabilisation des finances du protocole et le soutien aux utilisateurs affectés.
Au cœur du plan se trouve une proposition de brûler 6 millions de reUSD provenant du protocole de la réserve d'assurance, qui détient actuellement environ 38,7 millions de dollars. L'exploitation, qui a eu lieu le 25 juin 2025, a entraîné des pertes atteignant 10 millions de dollars. Sur ce montant, le protocole a souligné que 2,87 millions de dollars ont déjà été remboursés par le trésor et les partenaires, laissant environ 7,13 millions de dollars.
La proposition de brûlage de six millions couvrirait la majorité de cette dette, tandis que le reste de 1,13 million de dollars serait supporté par le DAO et remboursé progressivement grâce à des sources de revenus futures telles que les frais de protocole ou les ventes potentielles de jetons RSUP.
Toutes les actions du plan de rétablissement sont soumises à un vote de gouvernance. Pour accélérer la mise en œuvre, l'équipe propose une période de vote raccourcie de trois jours, plutôt que les sept jours habituels.
Si approuvé, la destruction de jetons aura lieu immédiatement, et les retraits du fonds d'assurance, qui ont été suspendus après l'exploit, pourraient reprendre dans la fenêtre de refroidissement originale de sept jours.
Comment l'exploitation de réapprovisionnement a eu lieu
Selon le rapport post-mortem du protocole, l'attaquant a exploité une vulnérabilité sur le marché crvUSD-wstUSR. L'exploitation a été rendue possible car le coffre CurveLend sous-jacent n'avait pas de dépôts antérieurs, permettant à l'attaquant de manipuler la manière dont la valeur des actions était calculée.
En faisant don d'un montant important de crvUSD au coffre et en frappant juste 1 wei d'actions, l'attaquant a artificiellement gonflé les prix pour faire apparaître le collatéral comme étant plus précieux que le dépôt réel.
Bien que l'oracle ait correctement signalé la valeur gonflée, un problème d'arrondi dans le calcul du taux de change du contrat a entraîné la valeur à se résoudre à zéro. Cette valeur nulle a rompu le contrôle de solvabilité du protocole, rendant chaque demande de prêt apparemment sûre. Avec le contournement, l'attaquant a pu emprunter jusqu'à la limite de dette de 10 millions de $ reUSD du couple.
Resupply a souligné que le schéma n'était pas une attaque d'inflation typique, mais un design plus ciblé et sophistiqué visant à annuler la logique de solvabilité.
« Le flux d'exploitation impliquait l'inflation des jetons de garantie de CurveLend, mais différait d'une 'attaque par inflation' classique car il était soigneusement conçu pour annuler un contrôle de solvabilité d'emprunteur », a déclaré Resupply.
L'équipe a ajouté que les fonds volés restent sur la chaîne et sont activement surveillés. De plus, des mesures de sécurité plus strictes seront déployées à l'avenir pour se défendre définitivement contre des exploits similaires.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Le protocole de réapprovisionnement décrit le plan de récupération après l'exploitation de 10 millions de dollars, propose une combustion de jetons de 6 millions de dollars.
Le protocole de stablecoin décentralisé récemment frappé par une exploitation de plusieurs millions de dollars a présenté un plan de récupération formel pour traiter les conséquences.
Selon la dernière annonce de Resupply, le plan de récupération se concentrera sur la stabilisation des finances du protocole et le soutien aux utilisateurs affectés.
Au cœur du plan se trouve une proposition de brûler 6 millions de reUSD provenant du protocole de la réserve d'assurance, qui détient actuellement environ 38,7 millions de dollars. L'exploitation, qui a eu lieu le 25 juin 2025, a entraîné des pertes atteignant 10 millions de dollars. Sur ce montant, le protocole a souligné que 2,87 millions de dollars ont déjà été remboursés par le trésor et les partenaires, laissant environ 7,13 millions de dollars.
La proposition de brûlage de six millions couvrirait la majorité de cette dette, tandis que le reste de 1,13 million de dollars serait supporté par le DAO et remboursé progressivement grâce à des sources de revenus futures telles que les frais de protocole ou les ventes potentielles de jetons RSUP.
Toutes les actions du plan de rétablissement sont soumises à un vote de gouvernance. Pour accélérer la mise en œuvre, l'équipe propose une période de vote raccourcie de trois jours, plutôt que les sept jours habituels.
Si approuvé, la destruction de jetons aura lieu immédiatement, et les retraits du fonds d'assurance, qui ont été suspendus après l'exploit, pourraient reprendre dans la fenêtre de refroidissement originale de sept jours.
Comment l'exploitation de réapprovisionnement a eu lieu
Selon le rapport post-mortem du protocole, l'attaquant a exploité une vulnérabilité sur le marché crvUSD-wstUSR. L'exploitation a été rendue possible car le coffre CurveLend sous-jacent n'avait pas de dépôts antérieurs, permettant à l'attaquant de manipuler la manière dont la valeur des actions était calculée.
En faisant don d'un montant important de crvUSD au coffre et en frappant juste 1 wei d'actions, l'attaquant a artificiellement gonflé les prix pour faire apparaître le collatéral comme étant plus précieux que le dépôt réel.
Bien que l'oracle ait correctement signalé la valeur gonflée, un problème d'arrondi dans le calcul du taux de change du contrat a entraîné la valeur à se résoudre à zéro. Cette valeur nulle a rompu le contrôle de solvabilité du protocole, rendant chaque demande de prêt apparemment sûre. Avec le contournement, l'attaquant a pu emprunter jusqu'à la limite de dette de 10 millions de $ reUSD du couple.
Resupply a souligné que le schéma n'était pas une attaque d'inflation typique, mais un design plus ciblé et sophistiqué visant à annuler la logique de solvabilité.
« Le flux d'exploitation impliquait l'inflation des jetons de garantie de CurveLend, mais différait d'une 'attaque par inflation' classique car il était soigneusement conçu pour annuler un contrôle de solvabilité d'emprunteur », a déclaré Resupply.
L'équipe a ajouté que les fonds volés restent sur la chaîne et sont activement surveillés. De plus, des mesures de sécurité plus strictes seront déployées à l'avenir pour se défendre définitivement contre des exploits similaires.