Nachschub-Hack

Am 26. Juni 2025, nur 1.5 Stunden nach der von der DAO genehmigten Einführung eines neuen wstUSR-Marktes, verlor Resupply – eine CDP-gestützte Stablecoin-Sub-DAO unter Convex und Yearn Finance – 9.6 Millionen US-Dollar bei einem Spendenangriff, bei dem die Preis-pro-Aktie-Schwachstelle eines leeren ERC-4626-Tresors im ResupplyPair-Vertrag (0x6e…6bd6) ausgenutzt wurde. Mit der Finanzierung durch Tornado Cash lieh sich der Angreifer 4 USDC von Morpho, wandelte sie in crvUSD um, spendete 2 crvUSD, um den Aktienkurs des Tresors in die Höhe zu treiben, und hinterlegte dann 2 crvUSD, um 1 Wei an cvcrvUSD-Aktien zu prägen – die aufgrund unkontrollierter BalanceOf-Berechnungen als Sicherheit überbewertet waren –, lieh sich 10 Mio. reUSD, tauschte sie in scrvUSD/crvUSD und hob das Geld in WETH ab, um einen Gewinn von 9.6 Mio. USD zu erzielen (Aufteilung: 2 Mio. ETH, 3.6 Mio. USDC) über Curve/Uniswap. Cyvers markierte die Orakel-/Wechselkursmanipulation, die dazu führte, dass die Floor-Division auf Null sank und Bonitätsprüfungen umgangen wurden; Resupply setzte den wstUSR-Markt und Versicherungsabhebungen aus, wodurch TVL von 135 Mio. auf 107 Mio. USD fiel und der RSUP-Token abstürzte. Wiederherstellung: Das Finanzministerium deckte 2.86 Mio. reUSD; DAO schlug vor, 6 Mio. reUSD (15.5 % des Versicherungspools) für 6 Mio. $ zu verbrennen, wobei 1.13 Mio. $ über Gebühren/RSUP-Verkäufe zurückgezahlt werden sollten; ein Entwickler spendete persönlich 1.4 Mio. $; bis August wurden die gesamten 10 Mio. $ uneinbringlicher Forderungen mithilfe von Versicherungen/Convex/Yearn beglichen. Dieser Fehler bei der frühen Bereitstellung – der in ERC-4626-Designs erkannt, aber trotz Audits übersehen wurde – verdeutlicht die Risiken von Spenden in leeren Tresoren und erfordert virtuelle Aktien-/Offset-Mechanismen, Gleichgewichtssimulationen vor der Bereitstellung und robuste Zugriffskontrollen, um DeFi vor solchen Manipulationen im Wert von 9.6 Mio. $ inmitten der Hackerangriffe im Wert von über 2.3 Mrd. $ im Jahr 2025 zu schützen.