Resupply協議攻擊事件的深度分析和思考
2025年6月26日,穩定幣協議Resupply在Ethereum主網部署的合約遭受攻擊,損失了約$10M的資產。由于相關合約的價格預言機(priceoracle)的實現方式存在問題,導致對于新創建的低流動性Market,攻擊者可以通過donationattack操縱借出資產(Resupply發行的穩定幣reUSD)的相對價格(即借出資產和抵押資產的兌換比例,exchangerate)使其為0,從而繞過資產健康度檢查,借出大量reUSD獲利。
BlockSec在全網最先公開預警后提供了初步分析[2,3],Resupply在之后也發布了官方公告[4],但對很多技術細節并未作詳細闡述,本文將提供更為詳盡的分析;另一方面,攻擊發生后項目方及其相關方之間也發生了激烈的社區爭議[5],本文將深入分析并探討該協議背后復雜的生態關聯,供讀者參考。背景 1.1 關于Resupply協議
Resupply是一個去中心化的穩定幣協議[1],屬于Curve生態。Resupply所發行的穩定幣叫做reUSD,這是一種由抵押債務頭寸(CDP)支持的去中心化穩定幣,由在外部平臺的借貸市場賺取利息的其它穩定幣---包括crvUSD和frxUSD---支持,用戶可通過提供crvUSD和frxUSD借出reUSD,實現穩定幣資產再融資。
和一般的借貸協議類似,ResupplyMarket 也會對用戶的頭寸做資產健康度檢查(通過modifierisSolvent)。
根據以上代碼,可以得到exchangerate的計算公式如下:
其中:
最終,代入變量后得到price的計算公式如下:
為什么此時的_exchangeRate為0呢?因為攻擊者通過之前的步驟,操縱合約達到了如下狀態:
由于此時price>1e36,導致_exchangeRate=0。
6.將借出的reUSD兌換獲利。經驗教訓
Resupply此次被攻擊的Market中priceoracle實現類似Curve提供的模版合約[11]:
遺憾的是,Resupply協議在實現時似乎并未考慮這一適用性警告。關聯關系和社區爭議4.1 Curve生態五大項目的復雜關系網
要理解Resupply事件的深層影響,我們首先來看看Curve生態系統中五個核心協議之間的復雜關系:
上述相互關聯的項目共同構成了一個高度耦合的生態系統---在這樣的系統中,任何環節出現問題都可能引發連鎖反應。因此,Resupply攻擊事件引發社區對協議關聯性與安全性的廣泛討論[5],也就不足為奇了。更多思考5.1 時間線
2025年5月17日,Resupply官方地址0x1f84通過Curve的OneWayLendingFactory部署了一個新的LlamaLendMarket[6],其中:
該Market將crvUSD作為借貸資產,并以wstUSR作為抵押Tokens。
ERC-4626Vault合約為0x0114,對應的Controller為0x8970。
2025年5月31日,一個新的提案wstUSR-longLlamaLendMarket[7]在Resupply的治理頁面上線,該提案旨在允許用戶通過該LlamaLendMarket鑄造reUSD。
2025年6月11日,該提案在鏈上發布[8]。
2025年6月26日00:18:47(UTC),該提案獲得通過,Resupply官方地址0x0417在鏈上部署了[9]一個新的ResupplyPair(即ResupplycrvUSD/wstUSRMarket)0x6e90,該Market:
綁定了Vault0x0114和Controller0x8970。
以Vault的抵押債務頭寸(即cvcrvUSD,其標的資產為crvUSD)作為抵押品。
2025年6月26日01:53:59(UTC),即在Market0x6e90部署上鏈約1.5小時之后,攻擊者成功實施攻擊[4];與此同時BlockSec檢測到攻擊并嘗試聯系項目方。
2025年6月26日02:26(UTC),項目方未果并確認無法造成更多損失后,BlockSec發布公開預警[2]。
2025年6月26日02:53:23(UTC),項目方暫停協議[4]。
這不是事后的馬后炮,而是攻擊發生的那一刻就響起的警鐘。
通過在內存池階段監控交易,Phalcon能夠在攻擊交易進入內存池的瞬間就識別異常模式。系統基于AI驅動的智能分析引擎,整合了200多個典型攻擊特征,在過去半年中保持了小于0.0001%的超低誤報率,實現了真正意義上的精準威脅檢測。
當威脅被識別后,Phalcon的自動化攻擊阻斷機制會立即啟動。系統利用獨家開發的Gas競價策略,確保防護交易能夠搶跑攻擊交易,同時自動觸發協議的緊急暫停功能。整個響應過程支持EOA、多簽錢包等多種權限控制模式,為不同類型的協議提供靈活的安全解決方案。
如果Resupply在Market部署時就集成了Phalcon系統,攻擊本可完全避免:
在Market0x6e90部署完成后的1.5小時內,Phalcon系統會自動檢測到新Market的部署,智能分析其配置參數,識別出潛在的donationattack風險。系統會立即向項目方發送風險預警,建議增加初始流動性保護或調整相關參數。更關鍵的是,當攻擊交易在01:53:59UTC進入內存池時,Phalcon的AI算法會立即識別出典型的donationattack模式,自動觸發緊急暫停交易,通過Gas競價確保防護交易優先執行,從而完全避免1000萬美元的損失。
Resupply千萬美元在內等無數攻擊事件告訴我們,在DeFi的世界里,安全不是可選項,而是生存的必需品。不要等到下一次攻擊才后悔。