Một hacker đã phát hiện lỗ hổng nghiêm trọng trong giao thức DeFi (DeFi) Resupply vào sáng thứ 5, qua đó chiếm đoạt gần 9,6 triệu USD tài sản kỹ thuật số. Kẻ tấn công đã thao túng giá Token thông qua một lỗi trong hợp đồng thông minh.
Theo các chuyên gia phân tích bảo mật blockchain, Resupply, một nền tảng stablecoin DeFi tích hợp với Convex Finance và Yearn Finance, là mục tiêu chính của vụ khai thác này. Hacker sử dụng chiến thuật tinh vi để thao túng giá cvcrvUSD, một Token liên kết với Convex, nhằm lừa hệ thống và vay mượn dựa trên tài sản thế chấp gần như vô giá trị.
Lỗi hợp đồng thông minh khiến tỷ giá về 0
Lỗ hổng chính được phát hiện tại hợp đồng ResupplyPair trên mạng Ethereum với địa chỉ “0x6e…6bd6”. Hợp đồng này sử dụng giá Token cvcrvUSD để tính tỷ giá nội bộ trong quá trình cho vay thế chấp.
Một giao thức cho vay khác bị khai thác thông qua thao túng tỷ giá trên thị trường thanh khoản thấp hoặc gần như không có thanh khoản!
Kẻ tấn công đã làm tăng giá cổ phần #cvcrvUSD một cách giả tạo qua các giao dịch quyên góp phối hợp. Hợp đồng ResupplyPair của @ResupplyFi (https://t.co/yo2N5lScHi, lập khoảng 2 giờ trước) sử dụng… https://t.co/MelEYFLr98 pic.twitter.com/2qXC9IiREL
— BlockSec Phalcon (@Phalcon_xyz) 26/06/2025
Kẻ tấn công dựa vào cơ chế này để làm tăng giá Token cvcrvUSD giả tạo bằng các giao dịch quyên góp đồng bộ. Khi giá Token này tăng vọt, giá được nhập vào hợp đồng ResupplyPair cũng tăng theo.
Tuy nhiên, một lỗi trong mã nguồn, do sử dụng phép chia sàn (floor division), đã khiến tỷ giá nội bộ bị làm tròn về 0 khi giá Token vượt quá ngưỡng định sẵn.
Khi tỷ giá bằng 0, hacker có thể vay một lượng lớn stablecoin gốc reUSD của Resupply chỉ với 1 wei cvcrvUSD làm tài sản thế chấp. Các kiểm tra khả năng thanh khoản dựa trên tỷ giá này bị bỏ qua hoàn toàn.
“Kẻ tấn công thao túng giá Token, kích hoạt lỗi tỷ giá 0 trong hợp đồng thông minh của Resupply, cho phép vay một lượng tiền khổng lồ mà gần như không mất gì,” Hakan Unal, trưởng bộ phận vận hành an ninh tại Cyvers, bình luận.
Giao dịch ẩn danh bằng Tornado Cash
Hoạt động blockchain cho thấy hacker ban đầu cấp vốn vào ví thông qua Tornado Cash, một giao thức trộn giao dịch phi tập trung được tội phạm tiền điện tử dùng để che giấu nguồn gốc vốn. Điểm bắt đầu cuộc tấn công là giao dịch 2 ETH trên Cow Swap, theo phân tích của công ty bảo mật PeckShield.
Sau khi khai thác, hacker thanh khoản tài sản đánh cắp bằng cách chuyển đổi reUSD thành stablecoin và Ethereum qua các sàn DEX như Curve và Uniswap.
Khoản lợi nhuận 9,6 triệu USD được phân bổ qua hai địa chỉ Ethereum riêng biệt. Hacker sử dụng USDC và wrapped Ethereum (wETH) để lưu trữ khoản tiền cuối cùng.
Resupply xác nhận sự cố tấn công, cho biết thị trường wstUSR bị ảnh hưởng và đã tạm dừng tất cả hợp đồng để ngăn chặn thiệt hại tiếp theo.
“Người dùng nên tránh các vault reUSD và rút tiền nếu có thể,” chuyên gia Unal khuyến cáo.
Tấn công liên quan tới tiền điện tử bùng phát mạnh vào năm 2025
Sự cố Resupply là một trong chuỗi các vụ hack giá trị cao nhắm vào cả DeFi lẫn các nền tảng tập trung. Công ty phân tích blockchain Chainalysis báo cáo hơn 2,3 tỷ USD đã bị đánh cắp trong các vụ tấn công tiền điện tử từ đầu năm 2025, vượt qua tổng mức của năm trước chỉ trong nửa đầu năm.
Chỉ vài ngày trước đó, ngày 18/6, sàn tiền điện tử Iran Nobitex cũng bị tấn công nghiêm trọng. Hacker đã chiếm đoạt hơn 90 triệu USD tài sản kỹ thuật số trên nhiều blockchain như Bitcoin, Ethereum, Dogecoin, Ripple, Solana, Tron và Ton.
Điều tra trước đó đã liên kết các ví trên Nobitex với các nhóm có liên quan đến Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC), đồng minh của phiến quân Houthi tại Yemen và tổ chức Hamas.
Văn phòng Quốc gia Phòng chống Tài trợ Khủng bố (NBCTF) Israel xác định sàn này là kênh chuyển tiền cho nhiều tổ chức bị cấm, gồm hãng truyền thông Gaza Now ủng hộ Hamas, một tổ chức tuyên truyền của al-Qaeda, và các sàn tiền điện tử Nga chịu lệnh trừng phạt như Garantex và Bitpapa.
