Incident de Piratage de Resupply
Le 26 juin, le marché wstUSR, sous le protocole de stablecoin décentralisé Resupply, a été signalé comme ayant été piraté, entraînant le transfert d’environ 9,5 millions de dollars d’actifs. Dans le monde de la cryptomonnaie, de tels incidents ne sont pas rares. Le montant volé à Resupply n’est pas exceptionnel, mais cela a provoqué une controverse au sein de la communauté. En particulier, l’équipe du projet n’a pas récupéré les fonds du hacker, ne l’a pas tenu responsable, n’a pas signalé l’incident à la police, ni offert de récompense. Au lieu de cela, ils ont utilisé les actifs de la communauté pour combler le trou. En conséquence, la colère de la communauté s’est intensifiée.
Analyse de l’Incident
Resupply est un protocole de stablecoin décentralisé construit autour de crvUSD, et sa structure sous-jacente dépend fortement de la structure de pool de trading, du modèle de taux d’intérêt et de la logique de peg d’actifs de l’écosystème Curve. En attirant de la liquidité à travers des paires de trading telles que crvUSD-wstUSR, le projet a accumulé des dizaines de millions de dollars en positions verrouillées en peu de temps.
Le 26 juin, la société de sécurité BlockSec a d’abord découvert des flux de fonds anormaux dans Resupply et a initialement estimé la perte à 9,5 millions de dollars.
Le chemin de l’attaque a ensuite été décomposé : l’attaquant a profité d’une erreur de conception structurelle dans le déploiement du vault wstUSR de Resupply. Plus précisément, en injectant des paramètres soigneusement construits dans le contrat Controller, le taux d’échange est instantanément devenu zéro, la détection de collatéral a échoué, et tous les mécanismes de liquidation et de contrôle des risques ont été contournés.
Réactions de la Communauté
Après l’attaque, le groupe Discord de Resupply a explosé. Par la suite, lorsque certains grands LP ont demandé « pourquoi le pool d’assurance devait payer pour les erreurs techniques », ils ont même été expulsés ou bannis par l’administrateur. L’insatisfaction des utilisateurs se concentre sur trois aspects :
Le fondateur de OneKey, Yishi, a pris la parole publiquement pour la première fois, exigeant que Curve fournisse une solution équitable à chaque investisseur et restitue les fonds des utilisateurs perdus en raison d’erreurs techniques graves de la part du projet.
Yishi a révélé qu’il était l’un des trois plus grands investisseurs de Resupply et avait perdu des millions de dollars. Il a également souligné que le projet avait non seulement tenté de faire porter les pertes aux utilisateurs du pool d’assurance, mais avait également banni les questionneurs raisonnables dans le groupe Discord.
Controverse et Discrimination Raciale
Le 28 juin, le fondateur de OneKey, Yishi, a posté un message disant qu’il avait rencontré le terme de discrimination raciale évident « chixx choxx » lors de sa communication avec des membres du projet, ce qui a suscité une grande colère publique. Ce mot est largement considéré comme une expression insultante pour la communauté chinoise.
Yu Xian, le fondateur de SlowMist, a ajouté : « Le propriétaire du projet est le premier dans l’histoire à ne pas avoir fait de déclaration ou exprimé sa position sur la récompense. »
Le 29, OneKey a officiellement publié une déclaration pour clarifier qu’il n’a jamais incité, organisé ou manipulé aucun KOL ou utilisateur sous quelque forme que ce soit pour lancer une attaque d’opinion publique contre Curve ou tout projet.
Conclusion
L’incident de Resupply a commencé comme une attaque de hacker et a finalement évolué en une crise complète entourant les responsabilités de gouvernance, la communication communautaire, la discrimination raciale et l’éthique de marque. Dans le monde de la DeFi, la base de la confiance ne réside pas dans le livre blanc ou le rapport d’audit, mais dans la première réponse de la partie projet après l’incident. Les propositions de gouvernance peuvent réparer le protocole, mais elles ne peuvent pas réparer la communauté déchirée.
