Hackerangriff auf Resupply
Am 26. Juni wurde berichtet, dass der wstUSR-Markt unter dem dezentralen Stablecoin-Protokoll Resupply gehackt wurde, wobei etwa 9,5 Millionen US-Dollar an Vermögenswerten transferiert wurden. In der Krypto-Welt sind solche Vorfälle nicht ungewöhnlich. Der Betrag, der von Resupply gestohlen wurde, ist zwar nicht außergewöhnlich, hat jedoch in der Community Kontroversen ausgelöst. Insbesondere hat das Projektteam die Gelder des Hackers nicht zurückgeholt, ihn nicht zur Rechenschaft gezogen, keine Anzeige bei der Polizei erstattet und keine Belohnung angeboten. Stattdessen verwendeten sie Gemeinschaftsvermögen, um das Loch zu stopfen, was die Wut der Community weiter verstärkte.
„Die öffentliche Meinung zur Governance eskalierte sogar zu einem Rassendiskriminierungsskandal.“
Persönlichkeiten wie Yishi, Gründer von OneKey, und Yu Xian, Gründer von SlowMist, traten auf, um das Projektteam zur Rede zu stellen. Odaily Planet Daily wird den gesamten Vorfall untersuchen, die Ursachen des Konflikts aufarbeiten und die Positionen aller Parteien klären.
Über Resupply
Resupply ist ein dezentrales Stablecoin-Protokoll, das um crvUSD herum aufgebaut ist. Seine zugrunde liegende Struktur ist stark von der Handelspoolstruktur, dem Zinsmodell und der Vermögensbindung des Curve-Ökosystems abhängig. Durch die Anwerbung von Liquidität über Handelspaare wie crvUSD-wstUSR hat das Projekt in kurzer Zeit Vermögenswerte im Wert von mehreren zehn Millionen Dollar in gesperrten Positionen angesammelt.
Von der Code-Nutzung über die Governance-Logik bis hin zu den Methoden des Zugriffs auf die Staatskasse sieht Resupply wie ein unabhängiger Wolkenkratzer aus, ist jedoch tatsächlich tief zwischen den beiden großen DeFi-Infrastrukturen von Curve und Convex verwurzelt. Es wird allgemein angenommen, dass es eine Entwicklungsressourcenzusammenarbeit zwischen ihm und Convex gibt, und es gibt sogar Gerüchte, dass es heimlich vom Kernentwicklungsteam ausgebrütet wurde. Diese Beziehung wurde nach dem Vorfall zum Ausgangspunkt der Kontroversen.
Der Angriff und seine Folgen
Am 26. Juni entdeckte das Sicherheitsunternehmen BlockSec zuerst anormale Geldflüsse in Resupply und schätzte den Verlust zunächst auf 9,5 Millionen US-Dollar. Der Angriffsweg wurde dann analysiert: Der Angreifer nutzte einen strukturellen Entwurfsfehler in der Bereitstellung des wstUSR-Vaults von Resupply aus. Genauer gesagt, indem er sorgfältig konstruierte Parameter in den Controller-Vertrag injizierte, wurde der exchangeRate sofort auf null gesetzt, die Sicherheitenprüfung schlug fehl und alle Liquidations- und Risikokontrollmechanismen wurden umgangen.
Mit nur 1 wei als Sicherheit lieh sich der Angreifer eine große Menge reUSD, konvertierte die Vermögenswerte nach der Geldwäsche in ETH und mischte die Münzen über Tornado Cash. Der Verlust an Vermögenswerten betrug schließlich etwa 9,5 Millionen US-Dollar. Yu Xian, der Gründer von SlowMist, bezeichnete dies als einen Zinsinflationsfehler.
Reaktionen und Governance-Maßnahmen
Resupply veröffentlichte am 28. Juni einen Bericht zur Analyse des Hackerangriffs, in dem festgestellt wurde, dass der Angriff auf das Handelspaar crvUSD-wstUSR von Resupply etwa 10 Millionen US-Dollar an reUSD-Schulden verursacht habe, jedoch die Schwachstelle nur in einem bestimmten Token-Handelspaar existierte. Der Resupply-Markt funktionierte wie gewohnt.
Der problematische Codeabschnitt hat mehrere Sicherheitsprüfungen durchlaufen, und unabhängige Forscher wurden beauftragt, den Code zu überprüfen, aber das Problem wurde nicht gemeldet. In dieser Phase sind die gestohlenen Gelder noch auf der Kette, und die relevanten Situationen werden überwacht, während notwendige Maßnahmen ergriffen werden.
Die Schwachstelle selbst ist nicht kompliziert, aber sie durchbricht die zentrale Sicherheitsgrenze des Protokolls. Doch die eigentliche Kontroverse beginnt mit den Abhilfemaßnahmen des Projekts. Am 29. Juni initiierte das offizielle Team des Resupply-Protokolls einen Vorschlag für Abhilfemaßnahmen in der Community und erklärte, dass es die Funktionsweise des Protokolls schnell durch den Konsens der Community reparieren würde.
Community-Reaktionen und Rassendiskriminierungsskandal
Die Unzufriedenheit der Nutzer konzentriert sich auf drei Aspekte: Yishi, der Gründer von OneKey, sprach am 27. Juni öffentlich zum ersten Mal und forderte Curve auf, jedem Investor eine faire Lösung anzubieten und die von den schwerwiegenden technischen Fehlern der Projektseite verlorenen Nutzerfonds zurückzugeben. Er enthüllte, dass er einer der drei größten Investoren in Resupply war und Millionen von Dollar verloren hatte.
„Der Angriff wurde durch einen strukturellen Fehler verursacht, bei dem die ursprünglichen Anteile nicht zerstört wurden.“
Ein Community-Mitglied namens 3D postete ein Video, in dem das Resupply-Team verschiedener Pflichtverletzungen beschuldigt wurde. Yu Xian fügte hinzu, dass der Projektinhaber der erste in der Geschichte sei, der keine Erklärung abgegeben oder seine Position zur Belohnung geäußert hat.
Am 28. Juni postete Yishi eine Nachricht, in der er sagte, dass er beim Kommunizieren mit Projektmitgliedern auf das offensichtlich rassistisch diskriminierende Wort „chixx choxx“ gestoßen sei, was große öffentliche Wut auslöste. Dieses Wort wird allgemein als beleidigende Ausdrucksweise gegenüber der chinesischen Community angesehen.
Schlussfolgerung
Der Vorfall von Resupply begann als Hackerangriff und entwickelte sich schließlich zu einer umfassenden Krise rund um Governance-Verantwortlichkeiten, Community-Kommunikation, Rassendiskriminierung und Markenethik. Dies ist nicht das erste Mal, dass DeFi angegriffen wurde, und es wird auch nicht das letzte Mal sein. Doch es könnte das erste Mal sein, dass die Community in die Position des Verlustträgers gedrängt wurde, ohne eine Reaktion des Hackers oder eine Entschuldigung des Projekts.
In der DeFi-Welt liegt die Grundlage des Vertrauens nicht im Whitepaper oder im Prüfbericht, sondern in der ersten Reaktion der Projektseite nach dem Vorfall. Governance-Vorschläge können das Protokoll reparieren, aber sie können die zerrissene Community nicht reparieren. Das Protokoll läuft weiterhin, aber das Vertrauen ist weg und wird niemals zurückkommen.
