作者:Fairy,ChainCatcher
编辑:TB,ChainCatcher
出事后的第一反应,往往暴露一个团队的真实底色。
去中心化稳定币协议Resupply 被盗 960 万美元,原本看似“常规”的DeFi安全事故,却在短短数日内急剧恶化:项目方不喊话不表态不悬赏,投资者OneKey 创始人公开维权。事件从技术问题迅速演变为价值观冲突,并波及背后的Curve生态。
这不再是一场简单的被盗事故,而是一场在技术失误与治理傲慢夹击下,失控到全盘牵连的连锁崩塌。
事件回顾:从安全事故到公关灾难
6 月 26 日,Resupply 遭遇攻击,损失约 950 万美元。事故发生后,团队仅发布简要推文说明情况,却无追踪黑客或发布赏金的行动,引发社区疑惑。
同时,用户反映在 Discord 提出质疑后遭到禁言、移除,社区氛围迅速恶化。OneKey 创始人 Yishi 公开发声,披露自己作为 Resupply 三大投资者之一,损失数百万美元,并指出项目方正在将坏账强行分摊给保险池存款人,即让普通质押用户为技术失误买单。
6 月 28 日,Resupply 发布攻击分析报告,称漏洞仅影响特定代币交易对,其余市场正常运行,并提出动用保险池 600 万枚 reUSD 兜底坏账的治理提案,剩余部分则计划通过未来协议收益逐步偿还。然而,此举并未平息“怒火”。
6月29 日,Yishi 再度发声,批评团队第一时间不是追责,而是“直接从用户兜里掏钱”,甚至延长解锁期、限制提现。更严重的是,社群里充斥辱骂、种族歧视等言论。
除此之外,DeFi 研究员 @22333D 发布多个视频,痛批团队在发生低级合约错误后毫无责任担当。慢雾创始人余弦也公开表示,建议将其纳入史上安全事故处置恶劣榜TOP 10 观察区。
最终,这起安全事故演变成一场涵盖“失职治理 + 舆论压制 + 社区撕裂”的多重危机。
Resupply 背后团队的“安全黑历史”
本次攻击中,黑客利用 ResupplyPair合约中的价格操纵漏洞,结合ERC4626通胀漏洞,通过 1 wei 的抵押品借出约1000万美元的reUSD。然而,这种攻击手法并不复杂,加密 KOL子时甚至称其为“最低级常见”的错误,表现出团队在核心合约设计上的严重疏忽。
而更令人担忧的是,Resupply 背后的开发团队并非首次陷入安全风波。
早在 2024 年 3 月,Resupply 前身 Prisma Finance 就因黑客攻击损失逾 1160 万美元。虽然攻击者自称白帽,并多次在链上留言。但事件最终无疾而终,直到 9 个月后,Prisma 项目正式关闭,转而启动 Resupply 作为“继任者”。
除此之外,据社区用户整理,过去数年间,该团队关联项目平均每年都出现近千万美元的资金损失。(注:Resupply 是 Convex Finance 和 Yearnfi 的 subDAO 协议。)而这一反常的“事故频率”,让社区开始质疑其背后团队是否涉嫌监守自盗。
图源:@22333D
信任蔓延的裂缝: Curve 生态
随着Resupply舆情发酵,Curve 也被卷入了这场信任危机的漩涡。尽管两者并非同一团队,但关系紧密。Resupply协议构建在Curve生态系统之上,依赖其流动性池与机制支持。上线初期,Curve 官方还曾为Resupply宣传背书。
正因如此,许多用户基于对 Curve 的信任,选择在 Resupply 上质押、参与保险池。从结果上看,Resupply 的增长也确实反哺了 Curve。
加密KOL 加密韋馱表示,Curve在22年Luna暴雷之后,TVL已是断崖暴跌,且在多次事件包括Michael买房、2次自身被黑、stETH脱矛、FTX崩盘之后不断下滑。
而Resupply 在今年 3 月发射后,为 Curve 注入了活力,但如今“续命盘”陷入争议,反而将其旧账一并翻出。
在社区舆论中,一部分用户开始声称将抵制 Curve 生态项目;另一部分则认为 Curve 并不应为生态项目的技术失误兜底。但更多用户对Curve 团队及创始人 Michael 事后反应感到失望:急于澄清与 Resupply 的关系,且在公开发言中更倾向于维护Resupply项目方。
此外,Michael 在 OneKey 创始人 Yishi 公开维权后,不仅声称“今后不会再使用 OneKey 产品”,还表示将起诉 Yishi“损害 Curve 名誉”。
Resupply 的信任崩塌,不仅源于代码失误,更如一面镜子,映照出项目方在危机中暴露的道德底线,也揭示了生态在扩张中对责任、透明与担当的缺失。
事故的余波终将平息,但信任的裂痕却可能永远无法弥合。
