Vụ Hack Giao Thức Stablecoin Resupply
Vào ngày 26 tháng 6, thị trường wstUSR thuộc giao thức stablecoin phi tập trung Resupply đã bị hack, dẫn đến việc khoảng 9,5 triệu USD tài sản bị chuyển đi. Trong thế giới tiền điện tử, những sự cố như vậy không phải là hiếm. Mặc dù số tiền bị đánh cắp từ Resupply không phải là lớn nhất, nhưng nó đã gây ra nhiều tranh cãi trong cộng đồng.
Phản Ứng Của Nhóm Dự Án
Đặc biệt, nhóm dự án đã không thu hồi được số tiền của tin tặc, không chịu trách nhiệm, không báo cáo cho cảnh sát, và cũng không đưa ra phần thưởng. Thay vào đó, họ đã sử dụng tài sản của cộng đồng để lấp đầy lỗ hổng. Kết quả là, sự tức giận trong cộng đồng gia tăng.
Người sáng lập OneKey, Yishi, người sáng lập SlowMist, Yu Xian, và nhiều chuyên gia trong ngành tiền điện tử khác đã lên tiếng kêu gọi nhóm dự án, và thậm chí ý kiến công khai này đã leo thang thành vấn đề phân biệt chủng tộc.
Thông Tin Về Resupply
Resupply là một giao thức stablecoin phi tập trung được xây dựng xung quanh crvUSD, với cấu trúc nền tảng phụ thuộc nhiều vào cấu trúc pool giao dịch, mô hình lãi suất và logic gắn kết tài sản của hệ sinh thái Curve. Bằng cách thu hút thanh khoản thông qua các cặp giao dịch như crvUSD-wstUSR, dự án đã tích lũy được hàng chục triệu đô la trong các vị trí bị khóa trong một khoảng thời gian ngắn.
Từ việc sử dụng mã, logic quản trị, đến các phương thức truy cập kho bạc, Resupply trông giống như một tòa nhà cao tầng độc lập, nhưng thực tế lại sâu sắc gắn bó với hai cơ sở hạ tầng DeFi lớn là Curve và Convex.
Chi Tiết Vụ Tấn Công
Vào ngày 26 tháng 6, công ty an ninh BlockSec đã phát hiện ra dòng tiền bất thường trong Resupply và ước tính thiệt hại ban đầu là 9,5 triệu USD. Đường tấn công sau đó đã được phân tích: kẻ tấn công đã lợi dụng một lỗi thiết kế trong việc triển khai vault wstUSR của Resupply.
Cụ thể, bằng cách tiêm các tham số được xây dựng cẩn thận vào hợp đồng Controller, tỷ lệ trao đổi ngay lập tức trở thành 0, việc phát hiện tài sản thế chấp thất bại, và tất cả các cơ chế thanh lý và kiểm soát rủi ro đã bị bỏ qua. Với chỉ 1 wei làm tài sản thế chấp, kẻ tấn công đã vay một số lượng lớn reUSD, chuyển đổi tài sản thành ETH sau khi rửa tiền, và trộn các đồng tiền thông qua Tornado Cash.
Phản Ứng Của Cộng Đồng
Yu Xian, người sáng lập SlowMist, cho biết đây là một lỗ hổng lạm phát lãi suất. Resupply đã phát hành một báo cáo phân tích tấn công của tin tặc vào ngày 28 tháng 6, chỉ ra rằng cuộc tấn công vào cặp giao dịch crvUSD-wstUSR của Resupply đã gây ra khoảng 10 triệu USD nợ xấu reUSD, nhưng lỗ hổng chỉ tồn tại trong một cặp giao dịch token cụ thể.
Hiện tại, giới hạn nợ của các cặp token bị ảnh hưởng đã được đặt thành 0 và việc rút tiền từ quỹ bảo hiểm đã bị tạm ngừng. Một cuộc bỏ phiếu quản trị chính thức là cần thiết để dỡ bỏ sự đình chỉ.
Đề Xuất Khắc Phục
Vào ngày 29 tháng 6, nhóm chính thức của giao thức Resupply đã khởi xướng một đề xuất biện pháp khắc phục trong cộng đồng, tuyên bố rằng họ sẽ nhanh chóng sửa chữa hoạt động của giao thức thông qua sự đồng thuận của cộng đồng. Nội dung cụ thể của đề xuất như sau:
- Giai đoạn 1: Thực hiện hành động quản trị ngay lập tức, phá hủy token Quỹ Bảo hiểm (IP).
- Giai đoạn 2: Kế hoạch Giữ Quỹ Bảo hiểm.
Đề xuất này bề ngoài là một “hợp tác cộng đồng” nhanh chóng, nhưng cộng đồng nhìn chung coi đó là một “cơ chế thanh toán người dùng không thương lượng”. Quỹ bảo hiểm ban đầu được dự định để xử lý sự biến động của thị trường, không phải lỗ hổng trong việc triển khai dự án.
Cuộc Khủng Hoảng Toàn Diện
Sự cố Resupply bắt đầu như một cuộc tấn công của tin tặc và cuối cùng đã phát triển thành một cuộc khủng hoảng toàn diện xoay quanh trách nhiệm quản trị, giao tiếp cộng đồng, phân biệt chủng tộc và đạo đức thương hiệu. Đây không phải là lần đầu tiên DeFi bị tấn công, cũng không phải là lần cuối cùng. Nhưng có thể đây là lần đầu tiên mà cộng đồng bị đẩy vào vị trí gánh chịu thiệt hại mà không có phản ứng từ tin tặc hoặc lời xin lỗi từ dự án.
Trong thế giới DeFi, nền tảng của lòng tin không nằm ở bản white paper hay báo cáo kiểm toán, mà nằm ở phản ứng đầu tiên của bên dự án sau sự cố. Các đề xuất quản trị có thể sửa chữa giao thức, nhưng không thể sửa chữa cộng đồng đã bị rạn nứt. Giao thức vẫn đang hoạt động, nhưng lòng tin đã mất và sẽ không bao giờ trở lại.
