Giao thức lending Resupply vừa bị hack gần 10 triệu USD do lỗ hổng tính tỷ giá tài sản thế chấp trong vault rỗng để vay reUSD mà không cần tài sản thật.
Giao thức Resupply bị hacker thao túng tỷ giá, thiệt hại hơn 9,6 triệu USD
Vào ngày 26/06, cộng đồng DeFi tiếp tục xôn xao khi giao thức lending Resupply (trước đây là Prisma Finance) đã trở thành nạn nhân khi bị hacker "sờ gáy", gây thiệt hại khoảng 9,6 triệu USD, chỉ trong vài phút.
Hi @ResupplyFi you may want to take a look: https://t.co/XhC9zM8s7E pic.twitter.com/lmYQ6sP5e8
— PeckShield Inc. (@peckshield) June 26, 2025
Nguyên nhân ban đầu được các chuyên gia on-chain xác định là bắt nguồn từ một lỗ hổng thiết kế trong cách hệ thống tính tỷ giá tài sản thế chấp, đặc biệt là trong một vault rỗng nơi không có người dùng nào gửi tiền trước đó.
Cụ thể, hacker đã nhắm vào một vault có tên cvcrvUSD, vốn hoàn toàn không có thanh khoản. Lợi dụng việc vault này rỗng, kẻ tấn công chỉ cần gửi vào khoảng 2 crvUSD và nhận về 1 đơn vị cổ phần (share).
Sau đó, hắn donate thêm 2.000 crvUSD vào vault nhưng không nhận thêm cổ phần nào. Do vault này trước đó hoàn toàn trống rỗng, không có dữ liệu hoặc tỷ lệ cổ phần nào để làm chuẩn, nên hệ thống đã hiểu nhầm rằng 1 cổ phần duy nhất hiện đang nắm giữ toàn bộ giá trị là 2.002 crvUSD (tổng của 2 USD gửi ban đầu và 2.000 USD donate thêm). Trên thực tế, giá trị thật của cổ phần này chỉ đáng vài USD, nhưng hệ thống lại tin rằng nó cực kỳ đắt giá.
The root cause lies in the conversion rate manipulation of the empty cvcrvUSD vault. @ResupplyFi
— TenArmorAlert (@TenArmorAlert) June 26, 2025
The attacker donated 2000 crvUSD to the empty vault and mint 1 wei share by depositing about 2 crvUSD, which inflated the conversion rate.
Then the attacker added 1 wei cvcrvUSD… pic.twitter.com/RCWtcl33RQ
Chưa hết, vấn đề càng trở nên hơn khi hệ thống Resupply lại dùng phép chia làm tròn xuống (floor division) để tính tỷ lệ thế chấp. Khi lấy tổng giá trị tài sản chia cho số cổ phần, con số quá lớn khiến kết quả bị làm tròn xuống thành 0. Tức là giá trị cổ phần trên sổ sách trở thành 0, điều hoàn toàn phi lý.
Nói cách khác, giống như bạn đi vay tiền mua nhà, ngân hàng định giá căn nhà của bạn là 0 đồng do lỗi tính toán, nhưng vẫn cho bạn vay hàng chục tỷ vì không kiểm tra kỹ. Đó chính là chuyện đã xảy ra với hệ thống Resupply.
Lợi dụng lỗ hổng này, hacker dùng chỉ 1 cổ phần “ảo” để làm tài sản thế chấp và vẫn được vay tới 10 triệu reUSD, vì hệ thống không thể phát hiện bất thường và bỏ qua kiểm tra an toàn (LTV check).
Sau khi rút tiền thành công, hacker đã rửa số ETH nhận được thông qua "máy trộn" Tornado Cash,. Theo biểu đồ, dòng tiền được phân phối qua nhiều địa chỉ trung gian, một số swap token qua CowSwap, trước khi rút về ví cá nhân.
Here are the latest whereabouts of the stolen $9.6M funds from @ResupplyFi pic.twitter.com/8HWYd3yqtT
— PeckShield Inc. (@peckshield) June 26, 2025
Ngay sau khi phát hiện, Resupply đã đưa ra thông báo chính thức, giao thức cho biết:
“Chúng tôi đã xác định hợp đồng bị ảnh hưởng và lập tức tạm ngưng hoạt động của thị trường wstUSR. Các thị trường khác vẫn hoạt động bình thường. Một báo cáo điều tra chi tiết (post-mortem) sẽ được công bố sau khi hoàn thành phân tích kỹ thuật.”
Resupply has experienced an exploit in the wstUSR market. The affected contract has been identified and paused. Only the wstUSR market was impacted and the protocol continues to function as intended. A full post-mortem will be shared as soon as a complete analysis of the…
— Resupply (@ResupplyFi) June 26, 2025
Mặc dù vậy, một số nhà đầu tư đã lên tiếng chỉ trích cách dự án xử lý khủng hoảng. Một người dùng đã tuyên bố mạnh mẽ:
"@ResupplyFi nếu đây là cách các anh đối xử với những người đã bỏ vốn để ủng hộ dự án, thì kiện tụng là lựa chọn duy nhất còn lại. Tôi sẽ theo đuổi điều đó."
@ResupplyFi if this is how you treat people who backed the project with real capital, then legal action is the only path left. i will be pursuing it. pic.twitter.com/R9u9OI29jE
— Yishi (@ohyishi) June 26, 2025
Phát ngôn này phản ánh sự thất vọng sâu sắc từ cộng đồng khi một số người dùng cảm thấy bị phớt lờ sau khi dự án Resupply thiết lập chế độ “timeout” trên Discord, cấm gửi tin nhắn lên tới hơn 6 tiếng. Nhiều ý kiến cho rằng thay vì minh bạch trao đổi và đối thoại với những nhà đầu tư đã đồng hành bằng vốn thật, đội ngũ dự án lại chọn cách im lặng và khóa quyền phát ngôn của các thành viên lên tiếng chỉ trích.
Diễn biến này làm dấy lên nghi ngại về năng lực xử lý khủng hoảng của Resupply, đặc biệt trong bối cảnh dự án vừa chịu thiệt hại gần 10 triệu USD. Nếu không có động thái rõ ràng và phản hồi thỏa đáng, uy tín của giao thức có thể bị ảnh hưởng nghiêm trọng trong mắt cộng đồng và các nhà đầu tư lâu dài.
Resupply là một giao thức stablecoin phi tập trung, được triển khai như một “subDAO” tích hợp trong hệ sinh thái Convex Finance và Yearn. Người dùng có thể nạp stablecoin sinh lợi như crvUSD hoặc frxUSD vào nền tảng Curve Lend hoặc Fraxlend, sau đó vay ra đồng reUSD, sablecoin được neo giá bằng USD.
Tại thời điểm viết bài, TVL của Resupply đã lao dốc mạnh, từ 135 triệu USD xuống chỉ còn khoảng 89,63 triệu USD.
Thống kê TVL của Resupply. Nguồn: DefiLlama (Ngày 26/06/2025)
Song song đó, giá token RSUP cũng không tránh khỏi ảnh hưởng tiêu cực, giảm từ 1,54 USD xuống còn 1,34 USD, ghi nhận mức sụt giảm 15,8% trong 24 giờ qua.
Biến động giá RSUP trong 24 giờ qua, ảnh chụp màn hình trên CoinGecko lúc 04:25 chiều ngày 26/06/2025
Tuy nhiên, đây không phải là lần đầu tiên Resupply trở thành nạn nhân của một vụ tấn công. Trước khi đổi tên, dự án từng hoạt động dưới tên Prisma Finance, một giao thức cho vay phi tập trung cho phép người dùng thế chấp Liquid Staking Tokens (LSTs) để mint và vay stablecoin mkUSD.
Vào tháng 03/2024, Prisma Finance bị hacker tấn công với thiệt hại lên đến 9 triệu USD. Sau sự cố này, dự án quyết định đổi tên thành Resupply nhằm làm mới hình ảnh và khôi phục niềm tin cộng đồng. Thế nhưng trớ trêu thay, chỉ sau hơn một năm, cái tên mới vẫn không giúp dự án tránh khỏi một vụ tấn công nghiêm trọng khác. Đáng chú ý, “thám tử” on-chain nổi tiếng ZachXBT từng nghi vấn rằng kẻ đứng sau vụ hack năm 2024 có thể là người Việt Nam.
Coin68 tổng hợp
