Протокол стейблкоїн, що працює децентралізовано, нещодавно став жертвою багато мільйонного експлойту та представив формальний план відновлення для вирішення наслідків.
Згідно з останнім оголошенням Resupply, план відновлення буде зосереджений на стабілізації фінансів протоколу та підтримці постраждалих користувачів.
В основі плану лежить пропозиція спалити 6 мільйонів reUSD з страхової групи протоколу, яка в даний момент містить приблизно 38,7 мільйона. Експлуатація, яка сталася 25 червня 2025 року, призвела до збитків у розмірі 10 мільйонів. З цього протокол підкреслив, що 2,87 мільйона вже було повернено казначейством та партнерами, залишаючи приблизно 7,13 мільйона.
Запропоноване шість мільйонне знищення покриє більшість цього боргу, тоді як залишок у розмірі 1,13 мільйона доларів буде покрито DAO і поступово повернеться за рахунок майбутніх джерел доходу, таких як збори за протокол або потенційні продажі токенів RSUP.
Усі дії в плані відновлення підлягають голосуванню з управління. Щоб прискорити реалізацію, команда пропонує скорочений триденний період голосування, замість звичайних семи.
Якщо буде затверджено, спалення токенів відбудеться негайно, а виведення коштів зі страхового пулу, які були призупинені після експлуатації, можуть продовжитися в межах первісного семиденного охолодження.
Як відбулося експлуатація Resupply
Згідно з доповіддю після інциденту протоколу, зловмисник використав уразливість на ринку crvUSD-wstUSR. Зловживання стало можливим, оскільки основний сховище CurveLend не мало попередніх депозитів, що дозволило зловмиснику маніпулювати тим, як розраховувалася вартість частки.
Шляхом внесення великої кількості crvUSD до сховища та випуску всього 1 wei акцій, зловмисник штучно завищив ціни, щоб зробити забезпечення більш цінним, ніж фактичний депозит.
Хоча оракул правильно повідомив про завищену вартість, проблема округлення у розрахунку обмінного курсу контракту призвела до того, що вартість виявилася нульовою. Це нульове значення порушило перевірку платоспроможності протоколу, що зробило кожен запит на позику безпечним. Завдяки обходу, зловмисник зміг позичити до повного ліміту боргу в $10 мільйонів reUSD.
Resupply підкреслив, що схема не є типовою інфляційною атакою, а є більш цілеспрямованим і складним дизайном, спрямованим на нівелювання логіки платоспроможності.
“Потік експлуатації полягав в інфляції заставних акцій CurveLend, але відрізнявся від класичної ‘атаки інфляції’, оскільки був ретельно спроектований, щоб анулювати перевірку платоспроможності позичальника,” зазначив Resupply.
Команда додала, що вкрадені кошти залишаються в мережі та активно моніторяться. Крім того, для постійного захисту від подібних експлойтів у майбутньому будуть впроваджені більш суворі заходи безпеки.
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Протокол повторного постачання окреслює план відновлення після $10M експлуатації, пропонує $6M знищення токенів
Протокол стейблкоїн, що працює децентралізовано, нещодавно став жертвою багато мільйонного експлойту та представив формальний план відновлення для вирішення наслідків.
Згідно з останнім оголошенням Resupply, план відновлення буде зосереджений на стабілізації фінансів протоколу та підтримці постраждалих користувачів.
В основі плану лежить пропозиція спалити 6 мільйонів reUSD з страхової групи протоколу, яка в даний момент містить приблизно 38,7 мільйона. Експлуатація, яка сталася 25 червня 2025 року, призвела до збитків у розмірі 10 мільйонів. З цього протокол підкреслив, що 2,87 мільйона вже було повернено казначейством та партнерами, залишаючи приблизно 7,13 мільйона.
Запропоноване шість мільйонне знищення покриє більшість цього боргу, тоді як залишок у розмірі 1,13 мільйона доларів буде покрито DAO і поступово повернеться за рахунок майбутніх джерел доходу, таких як збори за протокол або потенційні продажі токенів RSUP.
Усі дії в плані відновлення підлягають голосуванню з управління. Щоб прискорити реалізацію, команда пропонує скорочений триденний період голосування, замість звичайних семи.
Якщо буде затверджено, спалення токенів відбудеться негайно, а виведення коштів зі страхового пулу, які були призупинені після експлуатації, можуть продовжитися в межах первісного семиденного охолодження.
Як відбулося експлуатація Resupply
Згідно з доповіддю після інциденту протоколу, зловмисник використав уразливість на ринку crvUSD-wstUSR. Зловживання стало можливим, оскільки основний сховище CurveLend не мало попередніх депозитів, що дозволило зловмиснику маніпулювати тим, як розраховувалася вартість частки.
Шляхом внесення великої кількості crvUSD до сховища та випуску всього 1 wei акцій, зловмисник штучно завищив ціни, щоб зробити забезпечення більш цінним, ніж фактичний депозит.
Хоча оракул правильно повідомив про завищену вартість, проблема округлення у розрахунку обмінного курсу контракту призвела до того, що вартість виявилася нульовою. Це нульове значення порушило перевірку платоспроможності протоколу, що зробило кожен запит на позику безпечним. Завдяки обходу, зловмисник зміг позичити до повного ліміту боргу в $10 мільйонів reUSD.
Resupply підкреслив, що схема не є типовою інфляційною атакою, а є більш цілеспрямованим і складним дизайном, спрямованим на нівелювання логіки платоспроможності.
“Потік експлуатації полягав в інфляції заставних акцій CurveLend, але відрізнявся від класичної ‘атаки інфляції’, оскільки був ретельно спроектований, щоб анулювати перевірку платоспроможності позичальника,” зазначив Resupply.
Команда додала, що вкрадені кошти залишаються в мережі та активно моніторяться. Крім того, для постійного захисту від подібних експлойтів у майбутньому будуть впроваджені більш суворі заходи безпеки.