Resupply 因漏洞遭竊 960 萬美元,竟讓用戶買單?
撰文:1912212.ETH,Foresight News
近年來,DeFi 領域的快速發展吸引了無數投資者和開發者,但其高風險和高回報並存的特性也頻頻引發不小問題,比如頻頻上演的黑客攻擊盜取資金事件就困擾不少鏈上理財與套利者。 6 月 27 日,DeFi 協議 Resupply 因重大安全漏洞導致 960 萬美元的資金被盜,這一事件因 OneKey 創始人王一石(Yishi Wang)發起的維權行動而被社區廣為人知。
Yishi 作為 Resupply 的主要投資人之一,公開批評項目方的失誤並呼籲相關方承擔責任,其行動在社區內引發了廣泛討論,甚至與 Curve 創始人 Michael Egorov 的激烈交鋒。
合約漏洞致用戶資金被洗劫一空
Resupply 新興的 DeFi 協議,旨在通過創新的流動性管理和收益策略吸引用戶和投資者。 DeFi 協議通常通過智能合約實現資金池的自動化管理,允許用戶存入加密資產以獲取收益。 然而,這類協議的複雜性和代碼漏洞常常成為黑客攻擊的目標。 Resupply 自推出以來,憑藉其高收益承諾和與 Curve、Convex、Yearn 等知名 DeFi 項目的合作,迅速吸引了大量資金和關注,被盜事件發生前管理著數億美元的資產。
加密錢包公司 OneKey 的創始人王一石,是 Resupply 的前三大投資人之一。 據其 X 上的公開聲明,他個人向 Resupply 投資了數百萬美元,本次攻擊事件不僅造成了重大經濟損失,也帶來了巨大的心理壓力。
根據 Yishi 的分析,事件的根本原因是 Resupply 團隊在部署新資金池(vault)時未能銷毀初始份額,導致智能合約中的 ERC-4626 標准出現“通脹型鑄幣漏洞”。 這一漏洞允許攻擊者以零成本鑄造無限量的代幣,進而將資金池中的資產洗劫一空。
Yishi 評論道:“這不是黑天鵝事件,是人禍,是開發層級的嚴重疏忽。”他指出,這一漏洞並非外部黑客利用複雜技術手段,而是團隊在基礎代碼部署上的低級錯誤。 這種失誤在 DeFi 領域尤為致命,因為智能合約的不可篡改性意味著一旦漏洞被利用,損失幾乎無法挽回。
沉默、禁言並嘗試讓投資者承擔損失
區塊鏈黑客攻擊事件時時刻刻都在不斷上演,過去數年有多個公鏈、defi、交易所都上演過被黑客攻擊的驚魂時刻。 我們會發現,其官方團隊往往會及時表態,並第一時間向黑客喊話,然而 Resupply 團隊的處理方式則令人匪夷所思。 不僅沉默應對黑客攻擊者,甚至「直至目前仍未做技術溯源 / 白帽賞金有關工作」。
Yishi 透露,團隊並未第一時間展開調查或報警,而是試圖通過保險池讓投資者承擔損失,同時在官方 Discord 服務器中封鎖質疑者的發言。 身為主要投資人的 Yishi 在提出合理質疑後,竟被團隊無預警禁言,這一行為令他感到“震驚且憤怒”。
最新提案顯示,項目方將通過保險池來承擔壞賬
面對 Resupply 團隊的不作為和壓制異議的態度,Yishi 選擇在 X 平台上公開維權。 他發表長文,詳細披露了事件的前因後果,並點名批評 Resupply 團隊的失責行為。 他強調保險池的設計是為了應對不可預測的黑天鵝事件,而非彌補開發團隊的低級錯誤。 他質問道:“如果開發失誤都可以由用戶買單,那這根本是劫富濟窮的假保險。”
Yishi 的維權行動不僅針對 Resupply 團隊,還延伸至與該項目合作的知名 DeFi 協議,如 Curve、Convex 和 Yearn。 他指出,這些項目通過為 Resupply 提供流動性支持和背書,獲得了曝光和收益,因此在事件發生後不應置身事外。 特別是 Curve,其穩定幣 crvUSD 在 Resupply 的資金池中扮演了重要角色。 Yishi 呼籲這些項目的開發者和財庫共同承擔賠償責任,以彌補投資者的損失。
據公開信息顯示,近年其相關協議項目方平均每年被盜 1000 萬美元,也引發社區對其監守自盜的懷疑。
2021 年 Yearn Finance 約 1100 萬美元 由於合約業務邏輯漏洞,攻擊者利用協議未充分防護的資金流動性,進行閃電貸攻擊,操控資金池實現套利。
2023 年 3 月 Yearn Finance 約 140 萬美元 受 Euler Finance 被黑影響,Yearn Finance 與其存在資金關聯,導致間接受損,本身合約無漏洞。
2023 年 4 月 13 日 Yearn Finance 約 1160 萬美元 早期 iearn yUSDT 合約配置錯誤,合約指向了錯誤的資產池(USDC 而非 USDT),攻擊者利用該配置漏洞,通過鑄造巨量 yUSDT 後套現 2 6。
2024 年 3 月 28 日 Prisma Finance 約 1000 萬美元 合約存在權限管理和業務邏輯漏洞,攻擊者部署惡意合約,通過多筆操作盜取資金,手法涉及函數權限問題和合約調用缺陷 1 5 6。
2025 年 6 月 26 日 Convex Finance(Resupply 子 DAO) 約 1000 萬美元 Resupply 子 DAO 合約存在業務邏輯漏洞,攻擊者利用合約缺陷非法轉移資金,具體為合約權限或資金流轉校驗不足。
此外,Yishi 還對 Resupply 團隊的溝通態度提出批評。 他表示團隊不僅缺乏透明度,甚至對提出異議的投資者進行嘲諷和封禁,這種行為是對社區信任的嚴重背叛。 他呼籲 Resupply 制定公平的解決方案,將因技術失誤導致的損失歸還給用戶。
很快 Yishi 便遭到匿名人士的私信攻擊,發布帶有歧視意味的模仿性詞彙 ching chong,也一度引發華語社區的普遍不滿。
衝突升級:與 Curve 創始人的交鋒
Yishi 的公開維權很快引起與 Curve 創始人 Michael Egorov 的直接衝突。 在此之前,Curve Finance 官方就此安全事件發表聲明,「雖然 Resupply 並非由 Curve 開發者開發,但 Resupply 創建者能力出眾、經驗豐富,相信他們會竭盡全力解決這一問題。」
然而事件並未就此結束。
據 Yishi 透露,Michael 曾私下表示要起訴他,理由是其言論“抹黑了 Curve 的名聲”。 這一消息在 X 平台上引發了社區的激烈爭論,許多人認為 Curve 作為 Resupply 的合作夥伴,理應承擔部分責任,而非通過法律威脅壓制批評。
Yishi 在 X 上回應道:“Michael 說要起訴我污衊 Curve 的名聲。問這是一種什麼樣的行為?老實人就活該被欺負是吧?”他表示,儘管尊重 Michael 為調解事件所做的努力,但他不會因此放棄追責。
隨著事件發酵,一些用戶開始將 Yishi 的個人維權行動與 OneKey 品牌掛鉤,甚至指責 OneKey“組織輿論攻擊”Resupply。 針對這些指控,OneKey 於 6 月 29 日在 X 平台發布嚴正聲明,澄清公司從未參與或操控任何輿論攻擊,Yishi 的維權行為屬於其個人投資行為,與 OneKey 的業務無關。
小結
Resupply 事件不僅是 Yishi 個人維權的縮影,也折射出 DeFi 行業在快速發展中暴露出的諸多問題。 首先,智能合約的安全性仍是 DeFi 項目的核心挑戰。 儘管 Resupply 的漏洞看似低級,但類似事件在 DeFi 領域並不鮮見。 2024 年,全球因黑客攻擊和詐騙導致的加密貨幣損失已超過 22 億美元,凸顯了行業安全標準的亟待提升。
其次,Resupply 團隊的處理方式暴露了 DeFi 項目在危機管理中的不足。 缺乏透明度、壓制異議、推卸責任等行為不僅損害了投資者的信任,也可能對項目的長期發展造成毀滅性打擊。 Yishi 的維權行動提醒社區,投資者有權要求項目方對技術失誤承擔責任,而不是將損失轉嫁給用戶。
事件還引發了對 DeFi 生態中合作夥伴責任的討論。 Curve、Convex 等項目因與 Resupply 的合作而被捲入爭議,這表明 DeFi 項目的互聯性既是其優勢,也可能成為風險的放大器。 未來,如何在生態合作中明確責任分配,將是 DeFi 行業需要解決的重要課題。
