На днях целью атаки злоумышленника стал cvcrvUSD, так называемая обёрнутая версия Curve USD (crvUSD), размещённая на Convex Finance. Отправляя пожертвования в хранилище cvcrvUSD, злоумышленник завысил цену токена.
Затем завышенная цена использовалась в качестве залога для заимствования собственного стейблкоина Resupply reUSD по очень выгодному обменному курсу.
В итоге смарт-контракт Resupply ResupplyPair (CurveLend: crvUSD/wstUSR) использовал в своих расчётах сфальсифицированную цену cvcrvUSD.
После того, как злоумышленник занял reUSD, сфальсифицированный обменный курс рухнул, что привело к серьёзной девальвации резервов протокола.
Аналитики Blocksec выяснили, что злоумышленник в первую очередь выкачал средства с рынка wstUSR, используя несовершенную логику ценообразования в функции заимствования. Затем украденные reUSD были быстро конвертированы в другие криптоактивы на внешних рынках.
В результате злоумышленник занял огромную сумму reUSD всего с 1 wei cvcrvUSD в качестве залога, обойдя проверку на неплатежеспособность, — написали в Blocksec.
В Resupply признали проблему, скомпрометированный контракт был приостановлен. Сейчас разработчики пытаются дать оценку произошедшему:
Полный отчёт будет предоставлен после проведения полного анализа ситуации.
Заместитель главного редактора Happy Coin News. Образование: экономист. Второе образование маркетинг. В криптоиндустрии с 2014 года. Неоднократно выступал в качестве эксперта на РБК. Биткоин — это не спекуляции, а свобода. Но, свобода требует личной ответственности.
