再補給プロトコルは、$10Mの悪用後の回復計画を概説し、$6Mのトークンバurnを提案します。

最近、数百万ドルの攻撃を受けた分散型ステーブルコインプロトコルは、影響を対処するための正式な復旧計画を提示しました。

Resupplyの最新の発表によると、回復計画はプロトコルの財政を安定させ、影響を受けたユーザーをサポートすることに焦点を当てる。

計画の中心には、現在約$38.7百万を保持しているプロトコルの保険プールから$6百万のreUSDを焼却する提案があります。このエクスプロイトは2025年6月25日に発生し、損失は$10百万に達しました。そのうち、プロトコルは$2.87百万がすでに財務省とパートナーによって返済されていると強調しており、残りはおおよそ$7.13百万です。

提案された600万のバURNは、その債務の大部分をカバーする一方で、残りの113万ドルはDAOによって負担され、プロトコル手数料や潜在的なRSUPトークン販売などの将来の収益源を使用して徐々に返済されることになる。

回復計画のすべての行動は、ガバナンス投票の対象です。実施を迅速化するために、チームは通常の7日間ではなく、短縮された3日間の投票期間を提案しています。

承認されれば、トークンバーンは直ちに行われ、攻撃後に一時停止された保険プールの引き出しは、元の7日間のクールダウンウィンドウ内で再開できる可能性があります。

どのように供給再開の悪用が発生したか

プロトコルの死後報告によると、攻撃者はcrvUSD-wstUSR市場の脆弱性を悪用しました。この悪用は、基盤となるCurveLendボールトに以前の預金がなかったために可能となり、攻撃者は株式の価値の計算方法を操作することができました。

大量のcrvUSDをボールトに寄付し、わずか1 weiのシェアをミントすることで、攻撃者は価格を人工的に膨張させ、担保が実際の預金よりも価値があるように見せかけました。

オラクルはインフレ価値を正しく報告しましたが、契約の為替レート計算における丸めの問題により、その値はゼロに解決されました。このゼロ値はプロトコルの支払い能力チェックを破壊し、すべての貸付リクエストが安全に見えるようになりました。バイパスにより、攻撃者はペアの全体の$10百万reUSD負債限度まで借り入れることができました。

Resupplyは、この計画が典型的なインフレ攻撃ではなく、支払い能力の論理を無効にすることを目的とした、よりターゲットを絞った洗練された設計であると強調しました。

「このエクスプロイトの流れは、CurveLendの担保シェアのインフレを含んでいましたが、古典的な「インフレーション攻撃」とは異なり、借り手の支払い能力チェックを無効にするように慎重に設計されていました。」とResupplyは述べました。

チームは、盗まれた資金がオンチェーンに残っており、積極的に監視されていると付け加えました。さらに、今後は同様の悪用に対して永続的に防御するために、より強力なセキュリティ対策が講じられます。