Os atacantes manipularam os preços do token para distorcer a taxa de câmbio, ejetando aproximadamente US $ 9,5 milhões ao fornecer o protocolo de Stablecoin descentralizado.
A exploração foi sinalizada pela primeira vez pela plataforma de segurança Phalcon em 25 de junho, detectando uma transação suspeita, levando a uma perda de US $ 9,5 milhões. O Protocolo de Resumo confirmou rapidamente o incidente em X, alegando que os contratos inteligentes afetados foram suspensos e que o ataque afetou apenas o mercado WSTUSR. A equipe também disse que um post-mortem completo está em andamento e o protocolo principal ainda está em operação.
O Resumo experimentou façanhas no mercado WSTUSR. Os contratos afetados foram identificados e suspensos. Somente o mercado do WSTUSR é afetado e o protocolo continua a funcionar conforme o pretendido. Assim que a análise completa for concluída, ela será compartilhada após a morte completa …
– Resumo (@Resupplyfi) 26 de junho de 2025
Embora ainda estejam se pendentes de falha detalhada, a análise preliminar dos pesquisadores de segurança aponta para o caso clássico de manipulação de preços no mercado de baixo líquido. A exploração tem como alvo o CVCRVUSD, uma versão de embrulho do token CRVUSD da Curve Dao (CRV) coberto por finanças curvivas.
Segundo analistas, o atacante manipulou o preço das ações da CVCRVUSD enviando pequenas doações. O sistema ficou vulnerável porque a fórmula da taxa de câmbio de reabastecimento depende desse preço inflado.
O atacante usou o contrato inteligente da Reapply para emprestar Reusd, o Stablecoin nativo da plataforma, 10 milhões de pessoas. O Reusd emprestado foi rapidamente substituído por outros ativos no mercado externo, resultando em uma perda líquida de quase US $ 9,5 milhões.
Investigações adicionais revelaram que o atacante explorou um invólucro vazio do ERC4626, que atuava como um oráculo pelo preço do par de mistura de curvas do protocolo. Isso permitiu que o preço do CVCRVUSD fosse atingido usando apenas dois CRVUSD, ignorando os requisitos colaterais usuais.
Esse incidente contribui para a tendência crescente de ataques de manipulação de preços em 2025. Explorações semelhantes influenciaram recentemente protocolos como o Metapool e o ecossistema de ortografia GMX/MIM.
Mecanismos de preços fracos e empréstimos flash continuam sendo ferramentas comuns para os atacantes e, apesar de seus atacantes que passarem as auditorias de segurança do contrato, continuam a direcionar sistemas defi com volumes de negociação finos. O Resumo ainda não confirmou se o fundo de usuário será reembolsado ou se os esforços de recuperação estão em andamento.
