- O protocolo de stablecoin ResupplyFi sofreu um exploit em cerca de US$ 9,6 milhões por meio de uma manipulação de mercado de taxas de câmbio
- A exploração se concentrou no cvcrvUSD, uma versão encapsulada do Curve USD (crvUSD) depositada na Convex Finance
- Como resultado, a ResupplyFi pausou imediatamente o contrato wstUSR para impedir novos ataques
A ResupplyFi, protocolo DeFi focado em stablecoins sintéticas, sofreu um exploit que resultou em prejuízo de US$ 9,6 milhões no mercado wstUSR. O ataque ocorreu em 25 de junho de 2025 e expôs falhas graves no sistema de precificação e oráculos. A equipe agiu com rapidez, bloqueando o contrato comprometido e iniciando uma investigação completa.
Detalhes do exploit e técnica de manipulação
Primeiramente, o invasor manipulou o preço do token sintético cvcrvUSD, integrado ao protocolo, por meio de pequenas transações que inflaram artificialmente seu valor. Essa ação enganou a fórmula de câmbio da ResupplyFi, permitindo empréstimos excessivos de tokens reUSD com colateral mínimo.
🚨ALERT🚨Our system has detected a suspicious transaction involving @ResupplyFi, with losses estimated at $9.6M.
Attacker funded via @TornadoCash manipulated #cvcrvUSD price, causing exchangeRate in ResupplyPair to hit zero due to floor division enabling massive #reUSD borrowing… pic.twitter.com/fU1LEUxO0t
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) June 26, 2025
Em seguida, o atacante obteve cerca de US$ 9,6 milhões em reUSD usando apenas um wei de cvcrvUSD como garantia, convertendo o valor obtido em outros ativos nos mercados externos. Além disso, foi usada uma implementação de oráculo vulnerável (ERC4626 wrapper vazio) para agravar o exploit.
Ao explorar mecanismos de empréstimo e oráculo, o atacante obteve ganhos grandes sem detectar limitações de liquidez. Em paralelo, usou mixers como Tornado Cash para dificultar rastreamento do valor retirado.
Resposta de ResupplyFi e lições para o setor
Como resultado, a ResupplyFi pausou imediatamente o contrato wstUSR para impedir novos ataques. A equipe já iniciou uma revisão técnica completa para identificar pontos de falha, além de lançar um plano de melhoria de segurança, incluindo validações mais robustas e monitoramento em tempo real.
Além disso, especialistas em segurança apontam que esse incidente evidencia problemas persistentes em protocolos com baixa liquidez e dependência de oráculos frágeis. Recomendações incluem implementar checagens de sanidade em colaterais, auditorias frequentes, frameworks de oráculo reforçados e módulos automáticos de detecção de anomalias.
Enquanto isso, o ataque faz parte de uma série de incidentes recentes no setor DeFi, que acumula mais de US$ 2 bilhões em perdas somente em 2025. Esses eventos reforçam a urgência de reforçar a segurança em contratos inteligentes e algoritmos financeiros.
Para manter a confiança dos usuários e investidores, ResupplyFi também anunciará detalhes públicos da investigação e eventuais restituições. A transparência deve ajudar na recuperação da imagem e evitar cenário de desconfiança.
