Resupply Protokolünden 9.5 Milyon Dolarlık Vurgun: Fiyat Manipülasyonu İle Gerçekleşen DeFi Saldırısı

Merkeziyetsiz stablecoin protokolü Resupply, bir saldırganın token fiyatlarını manipüle ederek yaklaşık 9.5 milyon dolar değerinde varlık çalmasıyla sonuçlanan bir saldırıya maruz kaldı. İlk olarak 25 Haziran'da güvenlik platformu BlockSec Phalcon tarafından tespit edilen istismar, şüpheli bir işlemle başlamış ve büyük bir kayıpla sonuçlanmıştır. Resupply, X platformu üzerinden yaptığı açıklamada etkilenen akıllı sözleşmenin durdurulduğunu ve saldırının yalnızca wstUSR pazarını etkilediğini belirtti. Ekip ayrıca, ayrıntılı bir incelemenin devam ettiğini ve ana protokolün operasyonel olarak çalıştığını vurguladı.

Saldırının detayları henüz tam olarak açıklanmasa da, güvenlik araştırmacılarının ilk analizleri, düşük likiditeli bir piyasada fiyat manipülasyonu vakasına işaret ediyor. İstismarın hedefi, Convex Finance aracılığıyla stake edilmiş Curve DAO’nun (CRV) crvUSD tokeninin sarılmış bir versiyonu olan cvcrvUSD oldu. Saldırganın, küçük bağışlar göndererek cvcrvUSD'nin pay fiyatını yapay olarak yükselttiği belirtiliyor. Resupply'in döviz kuru formülünün bu şişirilmiş fiyata bağlı olması, sistemi savunmasız hale getirdi.

Saldırgan daha sonra Resupply’in akıllı sözleşmesini kullanarak, sadece bir wei cvcrvUSD teminatıyla 10 milyon reUSD (platformun yerel stablecoin'i) ödünç aldı. Ödünç alınan reUSD, hızla harici piyasalarda diğer varlıklara dönüştürüldü ve sonuç olarak yaklaşık 9.5 milyon dolarlık bir net kayıp yaşandı. Ek araştırmalar, saldırganın protokolün CurveLend çiftinde bir fiyat oracle'ı olarak hizmet veren boş bir ERC4626 wrapper'ını istismar ettiğini ortaya koydu. Bu, cvcrvUSD'nin fiyatının sadece iki crvUSD kullanılarak yükselmesine izin vererek, normal teminat gereksinimlerini atlatmayı sağladı.

Bu olay, 2025'te artan fiyat manipülasyon saldırıları trendine bir yenisini ekliyor. Benzer istismarlar yakın zamanda Meta Pool ve GMX/MIM Spell ekosistemini de etkiledi. Bu olaylar, oracle zafiyetleri ve düşük likiditeli token manipülasyonu nedeniyle gerçekleşti. Zayıf fiyatlandırma mekanizmaları ve flash loan'lar, saldırganlar için yaygın araçlar olmaya devam ediyor. Resupply, kullanıcı fonlarının geri ödenip ödenmeyeceğini veya kurtarma çalışmalarının yapılıp yapılmadığını henüz doğrulamadı. Bu olay, DeFi protokollerinin güvenlik açıklarını ve piyasa manipülasyonuna karşı ne kadar savunmasız olduğunu bir kez daha gözler önüne seriyor.