Een slimme truc met prijzen kostte het DeFi-protocol Resupply bijna tien miljoen dollar. Een hacker wist via een fout in de code goedkoop miljoenen te lenen en verdween daarna met de buit.

Het incident gebeurde in de wstUSR-markt van Resupply, waar een kwetsbaarheid in het smart contract werd misbruikt. Volgens beveiligingsbedrijf Cyvers kon de aanvaller de prijs van een synthetische stablecoin, cvcrvUSD, kunstmatig opdrijven. Daardoor kon hij $10 miljoen lenen met nauwelijks onderpand.

De gestolen crypto werd via Tornado Cash witgewassen en verspreid over meerdere wallets. Resupply heeft intussen de getroffen contracten stilgezet.

Hoe kon dit gebeuren?

De aanval was technisch gezien niet eens zo complex. Door het aandeel in een liquiditeitspool kunstmatig te verhogen, ontstond er een scheve prijs. Daar profiteerde de aanvaller van door zwaar te lenen, zonder het bijbehorende risico.

Volgens Meir Dolev van Cyvers had dit voorkomen kunnen worden met een paar basismaatregelen: controles op invoer, betere koppeling met prijsbronnen (oracles) en het testen van uitzonderingssituaties. Hij adviseert DeFi-projecten om ‘sanity checks’ toe te voegen aan hun leenlogica en transacties realtime te monitoren.

DeFi blijft doelwit

De timing van deze hack is opvallend. Alleen al in 2025 is er volgens CertiK meer dan $2,1 miljard gestolen uit de cryptosector. Waar het eerst vooral om technische bugs ging, gebruiken hackers nu vaker sociale manipulatie om toegang te krijgen.

Zo werd bij smart contract-platform Fuzzland een insider betrapt die gevoelige data stal en daarmee in 2024 een exploit uitvoerde bij Bedrock UniBTC.

Wat kunnen we hiervan leren?

Voor investeerders is dit een reality check: ook bekende DeFi-protocollen zijn kwetsbaar. Voor ontwikkelaars is het een les in verantwoordelijkheid. Wie werkt met slimme contracten, moet ook slimme beveiliging inbouwen. Zeker als het gaat om synthetische munten en prijsafhankelijke systemen.

Resupply heeft aangekondigd met een uitgebreid rapport te komen zodra de analyse is afgerond. Tot die tijd blijft het bij één harde conclusie: zelfs één foutje in de code kan miljoenen kosten.