Insiden Peretasan Protokol Stablecoin Resupply
Pada 26 Juni, pasar wstUSR di bawah protokol stablecoin terdesentralisasi Resupply dilaporkan telah diretas, dengan sekitar US$9,5 juta aset yang berhasil ditransfer. Di dunia cryptocurrency, insiden semacam ini bukanlah hal yang asing. Meskipun jumlah uang yang dicuri dari Resupply tidak terbilang luar biasa, insiden ini telah menimbulkan kontroversi di kalangan komunitas. Secara khusus, tim proyek tidak memulihkan dana yang dicuri, tidak mempertanggungjawabkan tindakan mereka, tidak melaporkannya kepada pihak berwenang, dan tidak menawarkan hadiah untuk informasi yang dapat membantu. Sebaliknya, mereka menggunakan aset komunitas untuk menambal kerugian tersebut, yang semakin memicu kemarahan di kalangan pengguna.
Pendiri OneKey, Yishi, pendiri SlowMist, Yu Xian, dan tokoh-tokoh lain di dunia cryptocurrency menyerukan kepada tim proyek untuk bertanggung jawab, dan opini publik ini bahkan berkembang menjadi isu diskriminasi rasial.
Analisis Insiden dan Penyebab Konflik
Odaily Planet Daily akan mengupas seluruh insiden ini, mengurutkan penyebab konflik, dan menjelaskan posisi semua pihak yang terlibat. Resupply adalah protokol stablecoin terdesentralisasi yang dibangun di atas crvUSD, dengan struktur yang sangat bergantung pada kolam perdagangan, model suku bunga, dan logika peg aset dari ekosistem Curve. Dengan menarik likuiditas melalui pasangan perdagangan seperti crvUSD-wstUSR, proyek ini berhasil mengumpulkan puluhan juta dolar dalam posisi terkunci dalam waktu singkat.
Meskipun terlihat seperti entitas independen, Resupply sebenarnya sangat terhubung dengan dua infrastruktur DeFi besar, yaitu Curve dan Convex. Umumnya diyakini bahwa ada kolaborasi dalam pengembangan antara Resupply dan Convex, dan bahkan ada desas-desus bahwa proyek ini diam-diam didukung oleh tim pengembangan inti.
Detail Serangan dan Kerugian
Kontroversi ini semakin memanas setelah insiden tersebut. Pada 26 Juni, perusahaan keamanan BlockSec pertama kali mendeteksi aliran dana yang mencurigakan di Resupply dan memperkirakan kerugian awal sebesar $9,5 juta. Jalur serangan kemudian diungkap: penyerang memanfaatkan kesalahan desain struktural dalam penerapan vault wstUSR Resupply. Dengan menyuntikkan parameter yang dirancang dengan hati-hati ke dalam kontrak Controller, exchangeRate menjadi nol, deteksi jaminan gagal, dan semua mekanisme likuidasi serta kontrol risiko terlewati. Dengan hanya 1 wei sebagai jaminan, penyerang berhasil meminjam sejumlah besar reUSD, mengonversi aset menjadi ETH setelah pencucian, dan mencampur koin melalui Tornado Cash. Akibatnya, kerugian aset mencapai sekitar $9,5 juta.
Yu Xian, pendiri SlowMist, menyatakan bahwa ini adalah celah dalam inflasi suku bunga. Resupply merilis laporan analisis serangan peretas pada 28 Juni, yang menunjukkan bahwa serangan pada pasangan perdagangan crvUSD-wstUSR menyebabkan sekitar $10 juta dalam utang buruk reUSD, tetapi kerentanan hanya terdapat pada pasangan perdagangan token tertentu. Pasangan perdagangan token lainnya tidak terpengaruh, dan pasar Resupply tetap beroperasi seperti biasa.
Langkah-langkah Perbaikan dan Reaksi Komunitas
Namun, kontroversi yang sebenarnya dimulai dengan langkah-langkah perbaikan yang diambil oleh proyek. Pada 29 Juni, tim resmi protokol Resupply menginisiasi proposal langkah-langkah perbaikan di komunitas, menyatakan bahwa mereka akan segera memperbaiki operasi protokol melalui konsensus komunitas. Isi spesifik proposal tersebut adalah sebagai berikut:
- Tahap 1: Ambil tindakan tata kelola segera dengan penghancuran token Kolam Asuransi (IP). Pada saat penulisan proposal, total utang buruk yang belum dibayar adalah 7.131.168 reUSD setelah Kas Protokol Resupply, Kas Convex, dan C2tP membayar 2.868.832 reUSD.
- Tahap 2: Rencana Retensi Kolam Asuransi. Jika disetujui, proposal tersebut berkomitmen kepada DAO untuk mendistribusikan total 2,5 juta kepada penerima selama 52 minggu.
Inti dari proposal ini dapat diartikan sebagai kolaborasi komunitas yang cepat, tetapi komunitas umumnya memandangnya sebagai mekanisme pembayaran pengguna yang tidak dinegosiasikan. Kolam asuransi awalnya dimaksudkan untuk menangani fluktuasi pasar, bukan kerentanan penerapan proyek; dan proposal tersebut tidak menyebutkan pemulihan dana peretas, pertanggungjawaban, pelaporan kepada polisi, dan hadiah. Reaksi pertama proyek adalah menggunakan aset komunitas untuk menambal kerugian, bukan untuk mencari tanggung jawab atas kerentanan tersebut. Tata kelola telah menjadi alat untuk mengalihkan tanggung jawab.
Diskusi dan Isu Diskriminasi Rasial
Setelah serangan, grup Discord Resupply menjadi sangat aktif. Ketika beberapa LP besar bertanya mengapa kolam asuransi harus menanggung kesalahan teknis, mereka bahkan dikeluarkan atau diblokir oleh administrator. Ketidakpuasan pengguna terkonsentrasi pada tiga aspek. Misalnya, pada 27 Juni, pendiri OneKey, Yishi, berbicara secara publik untuk pertama kalinya, menuntut agar Curve memberikan solusi yang adil kepada setiap investor dan mengembalikan dana pengguna yang hilang akibat kesalahan teknis serius oleh pihak proyek. Dia mengungkapkan bahwa dia adalah salah satu dari tiga investor terbesar di Resupply dan kehilangan jutaan dolar.
Dia percaya bahwa serangan itu disebabkan oleh kesalahan struktural di mana saham awal tidak dihancurkan saat vault ERC 4626 diterapkan, sehingga penyerang dapat mencetak saham tanpa batas dengan biaya hampir nol untuk menguras vault. Dia juga menunjukkan bahwa proyek tersebut tidak hanya mencoba untuk mengalihkan kerugian kepada pengguna kolam asuransi, tetapi juga melarang para penanya yang wajar di grup Discord.
Dia menegaskan bahwa Curve, Convex, dan Yearn semuanya telah mendukung Resupply dalam hal teknologi, tata kelola, atau sumber daya, dan seharusnya tidak dengan mudah memisahkan diri setelah insiden ini.
Anggota komunitas 3D memposting video yang menuduh tim Resupply melakukan berbagai kelalaian, termasuk mengadopsi kebijakan meredakan setelah insiden peretasan yang disebabkan oleh kesalahan tingkat rendah dalam kontrak, tidak menangguhkan, tidak melaporkan, tidak menawarkan hadiah, mengeluarkan orang, dan menutup mulut di Discord, serta mengklaim bahwa kerugian harus ditanggung oleh pengguna kolam asuransi yang digunakan untuk melindungi terhadap risiko volatilitas pasar.
Yu Xian, pendiri SlowMist, menambahkan bahwa pemilik proyek adalah yang pertama dalam sejarah yang tidak membuat pernyataan atau menyatakan posisinya tentang hadiah. Jika saya adalah penyerang, saya juga akan bingung. Mengapa pemilik proyek tidak menyatakan posisinya? Apakah saya peretas topi hitam atau peretas topi putih? Bahkan tata kelola ini telah meningkat menjadi isu diskriminasi rasial.
Reaksi Terhadap Diskriminasi Rasial
Pada 28 Juni, pendiri OneKey, Yishi, memposting pesan yang menyatakan bahwa dia mengalami diskriminasi rasial yang jelas saat berkomunikasi dengan anggota proyek, yang memicu kemarahan publik yang besar. Banyak orang di industri segera meluncurkan aksi dukungan untuk Yishi, menekankan bahwa diskriminasi rasial tidak dapat diterima dalam konteks apa pun.
Yishi menyatakan dalam sebuah tweet pada 28 Juni bahwa Michael, salah satu anggota proyek, mengatakan dia akan menuntutnya, menuduhnya mencemarkan nama baik reputasi Curve, dan menyatakan ketidakpuasan terhadap hal ini, mengatakan bahwa orang jujur layak untuk dibuli. Pendukung Michael merespons secara publik bahwa ini bukan lagi debat tentang siapa yang benar dan siapa yang salah, tetapi serangan terhadap kepercayaan sistemik merek Curve. Mereka mencantumkan lima kejahatan besar yang dituduhkan kepada Yishi, termasuk pencemaran nama baik, kerusakan reputasi, manipulasi informasi, niat untuk memberikan tekanan, dan rantai bukti lengkap.
Pernyataan Resmi dan Kesimpulan
Pada 29 Juni, OneKey secara resmi mengeluarkan pernyataan untuk menjelaskan bahwa mereka tidak pernah menghasut, mengorganisir, atau memanipulasi KOL atau pengguna dalam bentuk apa pun untuk meluncurkan serangan opini publik terhadap Curve atau proyek mana pun. OneKey akan mengejar tanggung jawab hukum atas tuduhan jahat dan pernyataan palsu yang disebarkan oleh beberapa individu di platform sosial saat ini dan tidak akan mentolerirnya.
Selain itu, pendiri, Tuan Yishi, berpartisipasi dalam investasi sepenuhnya dalam kapasitas pribadinya, yang merupakan perilakunya pribadi. Tidak ada sumber daya resmi OneKey yang terlibat dalam proyek tersebut. Semua produk OneKey adalah desain sumber terbuka, tanpa pintu belakang, dan telah diaudit sepenuhnya oleh tim keamanan profesional seperti SlowMist.
Pada 30 Juni, pendiri OneKey, Yishi, memposting tangkapan layar yang menunjukkan bahwa dia diblokir oleh Curve Finance dan memberi keterangan “Lulus”. Insiden Resupply dimulai sebagai serangan peretas dan akhirnya berkembang menjadi krisis komprehensif yang melibatkan tanggung jawab tata kelola, komunikasi komunitas, diskriminasi rasial, dan etika merek. Ini bukan pertama kalinya DeFi diserang, dan tidak akan menjadi yang terakhir. Namun, mungkin ini adalah pertama kalinya komunitas dipaksa untuk menanggung kerugian tanpa respons dari peretas atau permintaan maaf dari proyek.
Di dunia DeFi, dasar kepercayaan tidak terletak pada white paper atau laporan audit, tetapi pada respons pertama pihak proyek setelah insiden. Proposal tata kelola mungkin dapat memperbaiki protokol, tetapi mereka tidak dapat memperbaiki komunitas yang terpecah. Protokol masih berjalan, tetapi kepercayaan telah hilang dan tidak akan pernah kembali.
