黑客攻击事件概述
2023年6月26日,去中心化稳定币协议Resupply下的wstUSR市场遭到黑客攻击,约950万美元的资产被转移。在加密货币领域,此类事件并不罕见。尽管被盗金额并不算特别突出,但在社区中引发了广泛争议。尤其是项目团队没有追回黑客资金、追究责任、报警或提供奖励,而是动用社区资产来填补漏洞,导致社区愤怒加剧。
社区反应与争议
OneKey创始人Yishi、SlowMist创始人Yu Xian等加密圈人士纷纷呼吁项目团队采取行动,甚至这一治理舆论升级为种族歧视事件。Odaily Planet Daily将从整个事件出发,梳理冲突的根源,并澄清各方立场。
Resupply协议背景
Resupply是一个围绕crvUSD构建的去中心化稳定币协议,其底层结构高度依赖于Curve生态系统的交易池结构、利率模型和资产挂钩逻辑。通过吸引流动性,项目在短时间内通过crvUSD-wstUSR等交易对积累了数千万美元的锁仓。尽管从代码使用、治理逻辑到国库访问方式,Resupply看似是一座独立的高楼,但实际上却深深扎根于Curve和Convex这两个主要DeFi基础设施之间。
攻击细节与后果
6月26日,安全公司BlockSec首次发现Resupply的异常资金流动,初步估计损失为950万美元。攻击路径随后被拆解:攻击者利用Resupply在wstUSR金库部署中的结构设计错误,通过向Controller合约注入精心构造的参数,导致exchangeRate瞬间归零,抵押品检测失败,所有清算和风险控制机制被绕过。最终,资产损失约为950万美元。
SlowMist创始人Yu Xian表示,这是一个利率膨胀漏洞。
项目的补救措施
Resupply于6月28日发布了黑客攻击分析报告,指出对Resupply的crvUSD-wstUSR交易对的攻击造成了约1000万美元的reUSD坏账,但该漏洞仅存在于特定的代币交易对中,其他代币交易对未受影响,Resupply市场正常运营。目前,受影响的代币对的债务上限已设定为0,保险池的提款已暂停,解除暂停需要正式的治理投票。
6月29日,Resupply协议的官方团队在社区中发起了一项补救措施提案,声明将通过社区共识迅速修复协议的运营。提案的核心可以解读为:该提案表面上是快速的“社区合作”,但社区普遍将其视为“未协商的用户支付机制”。
社区的不满与指责
攻击发生后,Resupply的Discord群组爆炸。当一些大型流动性提供者询问“为什么保险池要为技术错误买单”时,甚至被管理员踢出或禁言。用户的不满集中在三个方面:
- OneKey创始人Yishi首次公开发声,要求Curve为每位投资者提供公平的解决方案,并归还因项目方严重技术错误而损失的用户资金。
- 社区成员3D发布视频指责Resupply团队的各种失职,主要包括在因合约低级错误导致的黑客事件后采取安抚政策。
- SlowMist创始人Yu Xian补充道:项目方是历史上首个没有对悬赏发表任何声明或表态的项目。
种族歧视事件的升级
6月28日,Yishi发帖称,在与项目成员沟通时遇到了明显的种族歧视词汇“chixx choxx”,引发了公众的强烈愤怒。该词被广泛认为是对中国社区的侮辱性表达。行业内许多人立即发起了支持Yishi的行动,强调种族歧视在任何情况下都是不可原谅的。
结论与反思
Resupply事件始于黑客攻击,最终演变为围绕治理责任、社区沟通、种族歧视和品牌伦理的全面危机。这并不是DeFi首次遭受攻击,也不会是最后一次。但这可能是社区在没有黑客回应或项目道歉的情况下,被迫承担损失的第一次。
在DeFi世界中,信任的基础不在于白皮书或审计报告,而在于事件发生后项目方的首次反应。治理提案或许能修复协议,但无法修复撕裂的社区。协议仍在运行,但信任已不复存在,且永远无法恢复。
