Giao thức Stablecoin Resupply bị tấn công mất 9,5 triệu USD

Giao thức stablecoin Resupply trở thành mục tiêu của một vụ tấn công gây thiệt hại 9,5 triệu USD. Vụ việc liên quan đến việc thao túng giá token cvcrvUSD, một phiên bản được stake của Curve USD (crvUSD) trên Convex Finance, dẫn đến việc kẻ tấn công vay được lượng lớn stablecoin reUSD của Resupply.

Chi tiết vụ tấn công Resupply

Kẻ tấn công đã gửi các khoản “quyên góp” vào kho cvcrvUSD, làm giá trị token này tăng vọt nhân tạo. Giá trị bị thao túng này sau đó được dùng làm tài sản thế chấp để vay stablecoin reUSD với tỷ giá cực kỳ ưu đãi.

Hợp đồng thông minh của Resupply, cụ thể là ResupplyPair (CurveLend: crvUSD/wstUSR), đã sử dụng giá cvcrvUSD bị thao túng trong tính toán. Sau khi vay được reUSD, tỷ giá bị thao túng sụp đổ, gây ra sự mất giá nghiêm trọng trong dự trữ của giao thức. Các nhà phân tích tại Blocksec chỉ ra rằng kẻ tấn công chủ yếu rút vốn từ thị trường wstUSR bằng cách khai thác lỗi logic giá trong chức năng vay.

Blocksec giải thích trên X: “Kẻ tấn công đã vay được lượng lớn reUSD chỉ với 1 wei cvcrvUSD làm tài sản thế chấp, vượt qua kiểm tra khả năng thanh toán.”

Resupply đã xác nhận vụ tấn công và tạm dừng hợp đồng bị xâm phạm. Đội ngũ đang điều tra sự cố và hứa hẹn sẽ công bố báo cáo chi tiết sau khi hoàn tất phân tích. Hiện chưa có kế hoạch khôi phục cụ thể nào được công bố.

Resupply will not post any links after this tweet. Links below this tweet that look like Resupply are spam, fake or phishing links. Do not click any link under this tweet. pic.twitter.com/FExOvng40U

— Resupply (@ResupplyFi) June 26, 2025

Vụ tấn công nội bộ 2 triệu USD tại UniBTC của Bedrock

Vào thứ Tư, Fuzzland tiết lộ rằng một vụ tấn công gây thiệt hại 2 triệu USD vào giao thức UniBTC của Bedrock vào tháng 9 năm 2024 là do một cựu nhân viên giả danh nhà phát triển MEV thực hiện. Kẻ tấn công sử dụng kỹ thuật social engineering, cài mã độc qua một crate Rust bị trojan hóa, và duy trì quyền truy cập không bị phát hiện vào hệ thống kỹ thuật trong hơn ba tuần.

Vụ tấn công xảy ra ngay sau khi Fuzzland thảo luận về một lỗ hổng bảo mật, cho thấy sự chuẩn bị kỹ lưỡng của kẻ tấn công.

Thiệt hại lớn trong ngành tiền điện tử

Theo nền tảng bảo mật blockchain Immunefi, trong ba tháng đầu năm 2025, ngành tiền điện tử đã mất tổng cộng 1,635 tỷ USD qua 39 vụ tấn công, gấp 4,7 lần so với quý I năm 2024 (348,25 triệu USD). Hai vụ tấn công lớn nhất, nhắm vào sàn Phemex (69,1 triệu USD vào tháng 1) và Bybit (1,46 tỷ USD vào tháng 2), chiếm phần lớn thiệt hại.

Các chuyên gia nghi ngờ nhóm hacker khét tiếng Lazarus từ Triều Tiên đứng sau hai vụ tấn công lớn nhất, chiếm 94% tổng thiệt hại (1,52 tỷ USD).

Vụ tấn công vào Resupply và UniBTC là lời cảnh báo về những rủi ro bảo mật trong không gian tiền mã hóa, từ lỗi logic hợp đồng thông minh đến các mối đe dọa nội bộ. Với thiệt hại ngày càng tăng, các giao thức và sàn giao dịch cần tăng cường bảo mật và kiểm tra kỹ lưỡng để bảo vệ tài sản người dùng. Nhà đầu tư cũng nên thận trọng, nghiên cứu kỹ trước khi tham gia vào các dự án hoặc nền tảng tiền mã hóa.