Взлом протокола Resupply
26 июня рынок wstUSR под децентрализованным протоколом стабильной монеты Resupply был взломан, и примерно 9,5 миллиона долларов США активов были переведены. В мире криптовалют такие инциденты не являются редкостью. Сумма украденных средств из Resupply не является выдающейся, но вызвала споры в сообществе. В частности, команда проекта не восстановила средства, не привлекла хакера к ответственности, не сообщила в полицию и не предложила вознаграждение. Вместо этого они использовали активы сообщества для покрытия убытков, что вызвало гнев среди пользователей.
Анализ инцидента
Основатель OneKey Yishi, основатель SlowMist Yu Xian и другие криптоэксперты призвали команду проекта к действиям, и даже это общественное мнение по управлению переросло в обвинения в расовой дискриминации. Odaily Planet Daily начнет с полного разбора инцидента, проанализирует коренные причины конфликта и прояснит позиции всех сторон.
Resupply — это децентрализованный протокол стабильной монеты, построенный вокруг crvUSD, и его основная структура сильно зависит от структуры торгового пула, модели процентных ставок и логики привязки активов экосистемы Curve. Привлекая ликвидность через торговые пары, такие как crvUSD-wstUSR, проект за короткий период времени накопил десятки миллионов долларов в заблокированных позициях.
Путь атаки
26 июня компания безопасности BlockSec впервые обнаружила аномальные потоки средств в Resupply и первоначально оценила убытки в 9,5 миллиона долларов. Затем был разобран путь атаки: злоумышленник воспользовался структурной ошибкой в проектировании хранилища wstUSR в Resupply. В частности, путем внедрения тщательно сконструированных параметров в контракт Controller, exchangeRate мгновенно стал нулевым, и все механизмы ликвидации и контроля рисков были обойдены.
С залогом всего в 1 wei злоумышленник занял большое количество reUSD, конвертировал активы в ETH после отмывания и смешал монеты через Tornado Cash. В результате убытки составили около 9,5 миллиона долларов США.
Реакция команды Resupply
28 июня Resupply выпустил отчет об анализе атаки хакера, в котором указал, что атака на торговую пару crvUSD-wstUSR в Resupply вызвала около 10 миллионов долларов плохого долга reUSD, но уязвимость существовала только в конкретной торговой паре токенов. Другие торговые пары токенов не пострадали, и рынок Resupply работал в обычном режиме.
В настоящее время лимит долга затронутых токенов установлен на 0, и вывод средств из страхового пула приостановлен. Для снятия приостановки требуется формальное голосование по управлению. Проблемный сегмент кода прошел несколько проверок безопасности, и независимые исследователи были наняты для проверки кодовой базы, но проблема не была выявлена.
Предложение о восстановлении
29 июня официальная команда протокола Resupply инициировала предложение о мерах по восстановлению в сообществе, заявив, что быстро исправит работу протокола через консенсус сообщества. Конкретное содержание предложения выглядит следующим образом:
- Этап 1: Принять немедленные действия по управлению Уничтожение токенов Страхового пула (IP).
- Этап 2: План удержания Страхового пула.
Суть вышеуказанного предложения может быть интерпретирована как: предложение на вид является быстрой «сообществом сотрудничеством», но сообщество в целом рассматривает его как «механизм оплаты пользователям без переговоров».
Общественное недовольство
После атаки Discord-группа Resupply взорвалась. Позже, когда некоторые крупные LP спросили «почему страховой пул должен платить за технические ошибки», их даже исключили или забанили администратором. Недовольство пользователей сосредоточено на трех аспектах:
- Отказ команды взять на себя ответственность за уязвимость.
- Использование активов сообщества для покрытия убытков.
- Отсутствие прозрачности и коммуникации со стороны команды.
27 июня основатель OneKey Yishi впервые публично выступил с требованием к Curve предоставить справедливое решение каждому инвестору и вернуть средства пользователей, потерянные из-за серьезных технических ошибок со стороны проекта.
Расовая дискриминация и общественное мнение
28 июня основатель OneKey Yishi опубликовал сообщение, в котором сообщил, что он столкнулся с очевидным расовым дискриминационным словом «chixx choxx» при общении с членами проекта, что вызвало большой общественный гнев. Это слово широко рассматривается как оскорбительное выражение для китайского сообщества.
Многие люди в индустрии немедленно запустили акцию Slash в поддержку Yishi, подчеркивая, что расовая дискриминация неприемлема в любом контексте.
Заключение
Инцидент с Resupply начался как атака хакера и в конечном итоге перерос в комплексный кризис, связанный с ответственностью за управление, коммуникацией в сообществе, расовой дискриминацией и этикой бренда. Это не первый случай атаки на DeFi и не будет последним. Но, возможно, это первый раз, когда сообщество было вынуждено взять на себя роль носителя убытков без ответа от хакера или извинений от проекта.
В мире DeFi основа доверия не в белом листе или отчете об аудите, а в первой реакции стороны проекта после инцидента. Предложения по управлению могут восстановить протокол, но не могут восстановить разорванное сообщество. Протокол все еще работает, но доверие потеряно и, вероятно, никогда не вернется.
