Resupply事件回顾：黑客逍遥法外，用户被迫填坑，安全事件演变为种族歧视丑闻

原创 | Odaily星球日报（@OdailyChina）

作者 | 叮当（@XiaMiPP）

6 月 26 日，去中心化稳定币协议 Resupply 旗下 wstUSR 市场被曝遭黑客攻击，约 950 万美元资产遭转移。

在加密世界，这类事件并不罕见，Resupply 的被盗金额甚至不算突出，但却引发社区争议。特别是项目方在事后的应对措施，并未对黑客资金进行追赃、追责、报警、悬赏，反而是先动用社区资产填坑。由此，社区怒火愈演愈烈舆论，OneKey 创始人 Yishi 、慢雾创始人余弦等一众加密人士纷纷站出来喊话项目方，甚至这场治理舆论已经升级至“种族歧视”。

Odaily 星球日报将从事件始末出发，梳理矛盾根源，厘清各方立场。

一、攻击过程：从“ 1 wei 抵押”借出数百万美元

Resupply 是围绕 crvUSD 构建的去中心化稳定币协议，其底层高度依赖 Curve 生态的交易池结构、利率模型与资产挂钩逻辑。通过 crvUSD-wstUSR 等交易对吸引流动性，项目在短时间内积累起数千万美元的锁仓量。

从代码使用、治理逻辑，到金库接入方式，Resupply 看似是一座“独立高楼”，实则深植于 Curve 与 Convex 这两大 DeFi 基础设施之间。外界普遍认为其与 Convex 存在开发资源协同，甚至传出由核心开发团队“暗中孵化”的传闻。

而这层关系，在事发之后成为争议的起点。

6 月 26 日，安全公司 BlockSec 首次发现 Resupply 出现异常资金流动，初步估算损失 950 万美元。

攻击路径随后被拆解：攻击者利用了 Resupply 在部署 wstUSR 金库时的一个结构性设计失误。具体而言，通过向 Controller 合约注入精心构造的参数，使得 exchangeRate 瞬间为零，抵押品检测失效，从而绕过所有清算与风控机制。

仅用 1 wei 抵押，攻击者就借出大量 reUSD，完成清洗后将资产转为 ETH，并通过 Tornado Cash 进行混币处理。事后统计，损失资产价值约 950 万美元。慢雾创始人余弦表示，这是一个“利率膨胀漏洞”。

Resupply 在 6 月 28 日发布的黑客攻击分析报告，其中指出：针对 Resupply 的 crvUSD-wstUSR 交易对的攻击造成了约 1000 万美元的 reUSD 坏账，但该漏洞仅存在于特定代币交易对中，其他代币交易对不受影响，Resupply 市场均照常运营。目前受影响代币交对的债务限额已设置为 0 并暂停了保险池提款，需要正式的治理投票才能取消暂停。存在问题的代码段已接受过多次安全审计，并有独立研究人员受聘审查代码库，但未有报告该问题，现阶段被盗资金仍在链上，正在监控相关情况并将采取必要措施。

漏洞本身不复杂，却打穿了协议最核心的安全边界。但真正的争议，从项目方的“补救措施”开始。

二、项目方补救：治理提案变“割韭菜”？

6 月 29 日，Resupply 协议官方团队在社区发起补救措施提案，宣称将以社区共识的方式“快速修复协议运行”。

提案具体内容如下：

阶段 1 ：立即采取治理行动

保险池（IP）token 销毁：在撰写提案时，Resupply 协议金库、Convex 金库和 C 2 tP 已经支付了 2, 868, 832 枚 reUSD 后，未偿坏账总额为 7, 131, 168 枚 reUSD。

该提案具体规定：

1. 6, 000, 000 ReUSD 的坏账将通过保险池烧掉，占保险池内 3870 万枚 reUSD 的 15.5% 。

2. 协议将处理持续的坏账，以减少保险池的欠款。总的来说，这比保险池最初欠下的坏账金额少了 400 万美元。

3. 剩余的坏账（1 ， 131 ， 168 美元）将通过未来收入来源的混合来偿还，例如但不限于协议费用和/或潜在的 RSUP 场外销售计划，该计划将在财务或治理部门的晚些时候决定。

   IP 提款期：

   • 官方正在尽一切努力缩短保险池中用户资金的强制锁定期限。为此将更新 Resupply 的投票者对该提案的投票时间缩短至 3 天。

   • 通过利用更短的投票窗口，DAO 可以对该提案迅速做出链上决定，以便为存款人造福，并在最初的 7 天 IP 冷却期内达成最终解决方案。

   • DAO 可以选择在本提案结束后将常规投票期延长至 7 天，或者探索其他选项，例如标准投票和紧急投票的不同投票时间。

     阶段 2 ：保险池保留计划

     • 概述：IP 保留计划适用于在本提案执行时是保险池存款人，并在上文第 1 阶段被削减的用户。它并不是为了抵消削减，尽管它可能这样做，也可能不这样做；相反，它旨在通过额外的流式 RSUP 代币来激励在削减后留在保险池中。选择加入是默认选项，但用户如果决定不参与，可以随时退出。

     • 选择退出将把额外流入的 RSUP 份额分配给剩余的份额。该方案需要部署合约，一旦合约得到审查和部署，将在稍后日期颁布。

     • 项目收入来源：将为保留计划创建一个专用的 RSUP 释放接收器。

       如果通过，该提案承诺 DAO 将在 52 周内向接收方分配总计 250 万。

       以上提案核心，可以解读为：

       • 动用保险池中 600 万枚 reUSD 进行烧毁以对冲坏账

       • 剩余 113 万美元坏账由未来协议收入偿还

       • 对留在保险池的用户发放流式 RSUP 奖励以稳定信心

       • 暂停提款通道，压缩投票周期，加快治理通过

         提案表面上是一次迅速的“社区协同”，但社区普遍将其视作“未经协商的用户买单机制”。

         保险池本是用于应对市场波动，而非项目部署漏洞；而提案中对黑客资金的追赃、追责、报警、悬赏，统统缺席。项目方的第一反应，是先动用社区资产填坑，而非查清漏洞责任。

         治理，成了一场“转移责任”的工具。

         三、社区怒火：受害者，还是冤大头？

         攻击发生后，Resupply 的 Discord 群组迅速炸锅。之后在部分大额 LP 提出“保险池为何为技术失误买单”时，甚至被管理员踢出或禁言。

         用户的不满集中在三个层面：

         • 制度层面：协议文档并未明确说明保险池需对开发失误兜底，而项目方却在事后单方面调整用途

         • 治理层面：治理提案在仓促之间推进，用户未获得足够参与与讨论的空间

         • 情感层面：攻击发生后，项目方表现出的不是同理心与担当，而是控制风险、控制舆论、控制情绪

           比如， 6 月 27 日，OneKey 创始人 Yishi 首次公开发声，要求 Curve 为每一位投资者提供公平解决方案，归还因项目方严重技术失误而造成的用户资金损失。

           他透露，自己为 Resupply 三大投资者之一，损失高达数百万美元。他认为攻击源于 ERC 4626 金库部署时未销毁初始份额的“结构性错误”，攻击者几乎可零成本无限铸造份额抽干金库。

           他还直指项目方不但试图将损失转嫁至保险池用户，还在 Discord 群内封禁合理质疑者。他表示 Curve、Convex、Yearn 均曾在技术、治理或资源上支持过 Resupply，事后不应轻描淡写地“撇清关系”。

           社区成员 @ 2233 3D 发视频控诉 Resupply 团队种种失职行为，主要包括在由于合约内部低级错误导致的黑客事件发生后，采取绥靖政策，不暂停不报警不悬赏，在 Discord 踢人捂嘴，并声称应当由本用于抵御市场波动风险的保险池用户承担损失。

           慢雾创始人余弦补充表示：“项目方是已知史上第一个不喊话、不表态给赏金的。我如果是这个攻击者，我也会一脸懵。项目方怎么还不表态，我到底是当个黑帽黑客还是白帽？”

           甚至这场治理舆论已经升级至“种族歧视”。6 月 28 日，OneKey 创始人 Yishi 发文称，其在与项目成员沟通中遭遇了明显的种族歧视词汇“chixx choxx”，这引发了极大的公众愤怒。该词被广泛认为是对华人群体的侮辱性表述，不少业内人士第一时间发起 Slash 行动声援 Yishi，强调“种族歧视在任何语境下都不容宽恕”。

           Curve 创始人 Michael 欲起诉：不是围观者，而是受害者？

           Yishi 在 6 月 28 日的推文中称，Michael 表示要起诉他，指控他污蔑 Curve 的名声，并对此表达了不满，称“老实人活该被欺负”。

           Michael 的支持者@HaowiWang公开发文回应称，这已不再是“谁对谁错”的争论，而是一次对 Curve 品牌系统性信任的攻击。他列举了 Yishi 的五大“罪状”：

           1. 恶意诽谤与事实捏造：Yishi 多次在社群、推特中将 Resupply 事件归因于 Curve，暗示其有实际控制责任，误导公众；

           2. 商誉损害：Yishi 作为公众人物，直接或间接点名 Curve，使项目在中文社区内遭遇信任危机；

           3. 有组织地操纵 KOC 传播错误信息：其可调动 OneKey 生态内的大量 KOC/KOL，引导舆论构建“Curve 共犯”的叙事；

           4. 施压兜底意图明显：通过“Curve 是最大受益者”“不回应就是默认”营造道德压力，意图让 Curve 为损失兜底；

           5. 证据链完整：推文、截图、群聊记录、转发网络链条等，已构成起诉所需最低门槛。

           29 日，OneKey 官方发布声明澄清，从未以任何形式唆使、组织或操控任何 KOL 或用户，对 Curve 或任何项目发起舆论攻击。针对当前社交平台上个别人散布的恶意指控与不实言论，OneKey 将依法追责，绝不姑息。此外，创始人 Yishi 先生完全以个人身份参与投资，属于其个人行为，OneKey 官方的任何资源都未参与该项目。同时，OneKey 所有产品均为开源设计、无后门，已通过 SlowMist 等专业安全团队充分审计。
           

           30 日，OneKey 创始人 Yishi 发布被 Curve Finance 拉黑的截图并配文“毕业了”。

           结语：危机之后，剩下的不是协议，而是裂痕

           Resupply 事件，从一场黑客攻击开始，最终演变为围绕治理责任、社群沟通、种族歧视与品牌操守的全面危机。

           这不是 DeFi 第一次遭遇攻击，也不会是最后一次。但它或许是第一次，在没有黑客回应、没有项目方道歉的背景下，社区被推上了“损失承担者”的位置。

           在 DeFi 世界里，信任的基础不在白皮书里，也不在审计报告里，而在项目方“出事之后的第一反应”。治理提案或许能修复协议，但修复不了撕裂的社群。协议还在运行，但信任走了，就不会回来。