Resupply事件回顧：黑客逍遙法外，用戶被迫填坑，安全事件演變為種族歧視醜聞

2025-07-01 00:07:23

@OdailyChina

@XiaMiPP

6 月 26 日，去中心化穩定幣協議 Resupply 旗下 wstUSR 市場被曝遭黑客攻擊，約 950 萬美元資產遭轉移。

在加密世界，這類事件並不罕見，Resupply 的被盜金額甚至不算突出，但卻引發社區爭議。特別是項目方在事後的應對措施，並未對黑客資金進行追贓、追責、報警、懸賞，反而是先動用社區資產填坑。由此，社區怒火愈演愈烈輿論， OneKey 創始人 Yishi 、慢霧創始人余弦等一衆加密人士紛紛站出來喊話項目方，甚至這場治理輿論已經升級至“種族歧視”。

Odaily 星球日報將從事件始末出發，梳理矛盾根源，釐清各方立場。

一、攻擊過程：從“ 1 wei 抵押”借出數百萬美元

Resupply 是圍繞 crvUSD 構建的去中心化穩定幣協議，其底層高度依賴 Curve 生態的交易池結構、利率模型與資產掛鉤邏輯。通過 crvUSD-wstUSR 等交易對吸引流動性，項目在短時間內積累起數千萬美元的鎖倉量。

從代碼使用、治理邏輯，到金庫接入方式，Resupply 看似是一座“獨立高樓”，實則深植於 Curve 與 Convex 這兩大 DeFi 基礎設施之間。 外界普遍認為其與 Convex 存在开發資源協同，甚至傳出由核心开發團隊“暗中孵化”的傳聞。

而這層關系，在事發之後成為爭議的起點。

6 月 26 日，安全公司 BlockSec 首次發現 Resupply 出現異常資金流動，初步估算損失 950 萬美元。

攻擊路徑隨後被拆解：攻擊者利用了 Resupply 在部署 wstUSR 金庫時的一個結構性設計失誤。具體而言，通過向 Controller 合約注入精心構造的參數，使得 exchangeRate 瞬間為零，抵押品檢測失效，從而繞過所有清算與風控機制。

僅用 1 wei 抵押，攻擊者就借出大量 reUSD，完成清洗後將資產轉為 ETH，並通過 Tornado Cash 進行混幣處理。事後統計，損失資產價值約 950 萬美元。慢霧創始人余弦表示，這是一個“利率膨脹漏洞”。

Resupply 在 6 月 28 日發布的黑客攻擊分析報告，其中指出：針對 Resupply 的 crvUSD-wstUSR 交易對的攻擊造成了約 1000 萬美元的 reUSD 壞账，但該漏洞僅存在於特定代幣交易對中，其他代幣交易對不受影響，Resupply 市場均照常運營。目前受影響代幣交對的債務限額已設置為 0 並暫停了保險池提款，需要正式的治理投票才能取消暫停。存在問題的代碼段已接受過多次安全審計，並有獨立研究人員受聘審查代碼庫，但未有報告該問題，現階段被盜資金仍在鏈上，正在監控相關情況並將採取必要措施。

漏洞本身不復雜，卻打穿了協議最核心的安全邊界。但真正的爭議，從項目方的“補救措施”开始。

二、項目方補救：治理提案變“割韭菜”？

6 月 29 日，Resupply 協議官方團隊在社區發起補救措施提案，宣稱將以社區共識的方式“快速修復協議運行”。

提案具體內容如下：

階段 1 ：立即採取治理行動

保險池（IP）token 銷毀：在撰寫提案時，Resupply 協議金庫、Convex 金庫和 C 2 tP 已經支付了 2, 868, 832 枚 reUSD 後，未償壞账總額為 7, 131, 168 枚 reUSD。

該提案具體規定：

6, 000, 000 ReUSD 的壞账將通過保險池燒掉，佔保險池內 3870 萬枚 reUSD 的 15.5% 。
協議將處理持續的壞账，以減少保險池的欠款。總的來說，這比保險池最初欠下的壞账金額少了 400 萬美元。
剩余的壞账（1 ， 131 ， 168 美元）將通過未來收入來源的混合來償還，例如但不限於協議費用和/或潛在的 RSUP 場外銷售計劃，該計劃將在財務或治理部門的晚些時候決定。

IP 提款期：

官方正在盡一切努力縮短保險池中用戶資金的強制鎖定期限。為此將更新 Resupply 的投票者對該提案的投票時間縮短至 3 天。
通過利用更短的投票窗口，DAO 可以對該提案迅速做出鏈上決定，以便為存款人造福，並在最初的 7 天 IP 冷卻期內達成最終解決方案。
DAO 可以選擇在本提案結束後將常規投票期延長至 7 天，或者探索其他選項，例如標准投票和緊急投票的不同投票時間。

階段 2 ：保險池保留計劃

概述：IP 保留計劃適用於在本提案執行時是保險池存款人，並在上文第 1 階段被削減的用戶。它並不是為了抵消削減，盡管它可能這樣做，也可能不這樣做；相反，它旨在通過額外的流式 RSUP 代幣來激勵在削減後留在保險池中。選擇加入是默認選項，但用戶如果決定不參與，可以隨時退出。
選擇退出將把額外流入的 RSUP 份額分配給剩余的份額。該方案需要部署合約，一旦合約得到審查和部署，將在稍後日期頒布。
項目收入來源：將為保留計劃創建一個專用的 RSUP 釋放接收器。

如果通過，該提案承諾 DAO 將在 52 周內向接收方分配總計 250 萬。

以上提案核心，可以解讀為：

動用保險池中 600 萬枚 reUSD 進行燒毀以對衝壞账
剩余 113 萬美元壞账由未來協議收入償還
對留在保險池的用戶發放流式 RSUP 獎勵以穩定信心
暫停提款通道，壓縮投票周期，加快治理通過

提案表面上是一次迅速的“社區協同”，但社區普遍將其視作“未經協商的用戶买單機制”。

保險池本是用於應對市場波動，而非項目部署漏洞；而提案中對黑客資金的追贓、追責、報警、懸賞，統統缺席。項目方的第一反應，是先動用社區資產填坑，而非查清漏洞責任。

治理，成了一場“轉移責任”的工具。

三、社區怒火：受害者，還是冤大頭？

攻擊發生後，Resupply 的 Discord 群組迅速炸鍋。之後在部分大額 LP 提出“保險池為何為技術失誤买單”時，甚至被管理員踢出或禁言。

用戶的不滿集中在三個層面：

制度層面 ：協議文檔並未明確說明保險池需對开發失誤兜底，而項目方卻在事後單方面調整用途
治理層面 ：治理提案在倉促之間推進，用戶未獲得足夠參與與討論的空間
情感層面 ：攻擊發生後，項目方表現出的不是同理心與擔當，而是控制風險、控制輿論、控制情緒

比如， 6 月 27 日，OneKey 創始人 Yishi 首次公开發聲，要求 Curve 為每一位投資者提供公平解決方案，歸還因項目方嚴重技術失誤而造成的用戶資金損失。

他透露，自己為 Resupply 三大投資者之一，損失高達數百萬美元。他認為攻擊源於 ERC 4626 金庫部署時未銷毀初始份額的“結構性錯誤”，攻擊者幾乎可零成本無限鑄造份額抽幹金庫。

他還直指項目方不但試圖將損失轉嫁至保險池用戶，還在 Discord 群內封禁合理質疑者。他表示 Curve、Convex、Yearn 均曾在技術、治理或資源上支持過 Resupply，事後不應輕描淡寫地“撇清關系”。

社區成員 @ 2233 3D 發視頻控訴 Resupply 團隊種種失職行為，主要包括在由於合約內部低級錯誤導致的黑客事件發生後，採取綏靖政策，不暫停不報警不懸賞，在 Discord 踢人捂嘴，並聲稱應當由本用於抵御市場波動風險的保險池用戶承擔損失。

慢霧創始人余弦補充表示：“項目方是已知史上第一個不喊話、不表態給賞金的。我如果是這個攻擊者，我也會一臉懵。項目方怎么還不表態，我到底是當個黑帽黑客還是白帽？”

甚至這場治理輿論已經升級至“種族歧視”。6 月 28 日，OneKey 創始人 Yishi 發文稱，其在與項目成員溝通中遭遇了明顯的種族歧視詞匯“chixx choxx”，這引發了極大的公衆憤怒。該詞被廣泛認為是對華人群體的侮辱性表述，不少業內人士第一時間發起 Slash 行動聲援 Yishi，強調“種族歧視在任何語境下都不容寬恕”。

Curve 創始人 Michael 欲起訴：不是圍觀者，而是受害者？

Yishi 在 6 月 28 日的推文中稱，Michael 表示要起訴他，指控他污蔑 Curve 的名聲，並對此表達了不滿，稱“老實人活該被欺負”。

Michael 的支持者 @HaowiWang 公开發文回應稱，這已不再是“誰對誰錯”的爭論，而是一次對 Curve 品牌系統性信任的攻擊。他列舉了 Yishi 的五大“罪狀”：

1. 惡意誹謗與事實捏造： Yishi 多次在社群、推特中將 Resupply 事件歸因於 Curve，暗示其有實際控制責任，誤導公衆；

2. 商譽損害： Yishi 作為公衆人物，直接或間接點名 Curve，使項目在中文社區內遭遇信任危機；

3. 有組織地操縱 KOC 傳播錯誤信息： 其可調動 OneKey 生態內的大量 KOC/KOL，引導輿論構建“Curve 共犯”的敘事；

4. 施壓兜底意圖明顯： 通過“Curve 是最大受益者”“不回應就是默認”營造道德壓力，意圖讓 Curve 為損失兜底；

5. 證據鏈完整： 推文、截圖、群聊記錄、轉發網絡鏈條等，已構成起訴所需最低門檻。

29 日，OneKey 官方發布聲明澄清，從未以任何形式唆使、組織或操控任何 KOL 或用戶，對 Curve 或任何項目發起輿論攻擊。針對當前社交平臺上個別人散布的惡意指控與不實言論，OneKey 將依法追責，絕不姑息。此外，創始人 Yishi 先生完全以個人身份參與投資，屬於其個人行為，OneKey 官方的任何資源都未參與該項目。同時，OneKey 所有產品均為开源設計、無後門，已通過 SlowMist 等專業安全團隊充分審計。

30 日，OneKey 創始人 Yishi 發布被 Curve Finance 拉黑的截圖並配文“畢業了”。