Quando tudo que você precisa é um wei para roubar milhões, algo está muito errado. Foi isso que aconteceu com a Resupply, plataforma de stablecoins descentralizada conectada às gigantes Convex Finance e Yearn Finance.
🎯 O bug que valeu US$ 9,6 milhões
O ataque foi calculado. O invasor manipulou o preço do token cvcrvUSD ao fazer “doações” estratégicas em um mercado raso. Isso distorceu a taxa de câmbio da Resupply, ativando um erro no contrato inteligente: a taxa ficou zerada.
Com essa falha, o hacker conseguiu emprestar quase US$ 10 milhões em reUSD com apenas um wei como garantia — algo equivalente a menos de um centavo de dólar.
🔁 Como o dinheiro sumiu tão rápido?
Depois de sacar os fundos, o invasor trocou os tokens manipulados por USDC e wETH usando Curve e Uniswap. Resultado: saiu com US$ 9,5 milhões limpos.
Segundo a Phalcon e a Cyvers, o ataque burlou completamente qualquer verificação de solvência. Hakan Unal, da Cyvers, foi direto: “O invasor manipulou preços, ativou um bug e pegou muito dinheiro por quase nada”.
🕵️♂️ Rastro em ETH e lavagem via Tornado Cash
A investigação mostra que o ataque começou com 2 ETH enviados via Cow Swap, DEX sem proteção contra front-running. Em seguida, os fundos passaram pelo Tornado Cash para dificultar o rastreio.
A CertiK identificou dois endereços principais com os valores roubados: um com 2.200 ETH e outro com 1.600 ETH.
A Resupply confirmou o ataque, atribuindo a falha ao mercado de wstUSR. O contrato afetado foi pausado, e a plataforma afirma que os demais mercados seguem ativos.
📌 Leia também:
Lei GENIUS pode mudar julgamento de Do Kwon nos EUA
