Yishi 開撕 Resupply:這不是黑天鵝事件,是人禍,是開發層級的嚴重疏忽。。
(前情提要:DeFi協議ResupplyFi慘遭駭客攻擊損失960萬美元,原生穩定幣reUSD一度脫錨至0.969美元 )
(背景補充: 悠遊卡被天才高中生破解?資安專家:MIFARE Classic漏洞15年前早公開! )
近年來,DeFi 領域的快速發展吸引了無數投資者和開發者,但其高風險和高回報並存的特性也頻頻引發不小問題,比如頻頻上演的駭客攻擊盜取資金事件就困擾不少鏈上理財與套利者。6 月 27 日,DeFi 協議 Resupply 因重大安全漏洞導致 960 萬美元的資金被盜,這一事件因 OneKey 創辦人王一石(Yishi Wang)發起的維權行動而被社群廣為人知。
Yishi 作為 Resupply 的主要投資人之一,公開批評專案方的失誤並呼籲相關方承擔責任,其行動在社群內引發了廣泛討論,甚至與 Curve 創辦人 Michael Egorov 的激烈交鋒。
合約漏洞致用戶資金被洗劫一空
Resupply 新興的 DeFi 協議,旨在通過創新的流動性管理和收益策略吸引使用者和投資者。DeFi 協議通常通過智慧合約實現資金池的自動化管理,允許使用者存入加密資產以獲取收益。然而,這類協議的複雜性和程式碼漏洞常常成為駭客攻擊的目標。Resupply 自推出以來,憑藉其高收益承諾和與 Curve、Convex、Yearn 等知名 DeFi 專案的合作,迅速吸引了大量資金和關注,被盜事件發生前管理著數億美元的資產。
加密錢包公司 OneKey 的創辦人王一石,是 Resupply 的前三大投資人之一。據其 X 上的公開宣告,他個人向 Resupply 投資了數百萬美元,本次攻擊事件不僅造成了重大經濟損失,也帶來了巨大的心理壓力。
根據 Yishi 的分析,事件的根本原因是 Resupply 團隊在部署新資金池(vault)時未能銷燬初始份額,導致智慧合約中的 ERC-4626 標準出現 「通膨型鑄幣漏洞」。這一漏洞允許攻擊者以零成本鑄造無限量的代幣,進而將資金池中的資產洗劫一空。
Yishi 評論道:「這不是黑天鵝事件,是人禍,是開發層級的嚴重疏忽。」 他指出,這一漏洞並非外部駭客利用複雜技術手段,而是團隊在基礎程式碼部署上的低階錯誤。這種失誤在 DeFi 領域尤為致命,因為智慧合約的不可篡改性意味著一旦漏洞被利用,損失幾乎無法挽回。
沉默、禁言並嘗試讓投資者承擔損失
區塊鏈駭客攻擊事件時時刻刻都在不斷上演,過去數年有多個公鏈、DeFi、交易所都上演過被駭客攻擊的驚魂時刻。我們會發現,其官方團隊往往會及時表態,並第一時間向駭客喊話,然而 Resupply 團隊的處理方式則令人匪夷所思。不僅沉默應對駭客攻擊者,甚至「直至目前仍未做技術溯源 / 白帽賞金有關工作」。
Yishi 透露,團隊並未第一時間展開調查或報警,而是試圖通過保險池讓投資者承擔損失,同時在官方 Discord 伺服器中封鎖質疑者的發言。身為主要投資人的 Yishi 在提出合理質疑後,竟被團隊無預警禁言,這一行為令他感到 「震驚且憤怒」。
最新提案顯示,專案方將通過保險池來承擔壞帳
面對 Resupply 團隊的不作為和壓制異議的態度,Yishi 選擇在 X 平臺上公開維權。他發表長文,詳細披露了事件的前因後果,並點名批評 Resupply 團隊的失責行為。他強調保險池的設計是為了應對不可預測的黑天鵝事件,而非彌補開發團隊的低階錯誤。他質問道:「如果開發失誤都可以由使用者買單,那這根本是劫富濟窮的假保險。」
Yishi 的維權行動不僅針對 Resupply 團隊,還延伸至與該專案合作的知名 DeFi 協議,如 Curve、Convex 和 Yearn。他指出,這些專案通過為 Resupply 提供流動性支援和背書,獲得了曝光和收益,因此在事件發生後不應置身事外。特別是 Curve,其穩定幣 crvUSD 在 Resupply 的資金池中扮演了重要角色。Yishi 呼籲這些專案的開發者和財庫共同承擔賠償責任,以彌補投資者的損失。
據公開資訊顯示,近年其相關協議專案方平均每年被盜 1000 萬美元,也引發社群對其監守自盜的懷疑。
2021 年 Yearn Finance 約 1100 萬美元 由於合約業務邏輯漏洞,攻擊者利用協議未充分防護的資金流動性,進行閃電貸攻擊,操控資金池實現套利。
2023 年 3 月 Yearn Finance 約 140 萬美元 受 Euler Finance 被黑影響,Yearn Finance 與其存在資金關聯,導致間接受損,本身合約無漏洞。
2023 年 4 月 13 日 Yearn Finance 約 1160 萬美元 早期 iearn yUSDT 合約配置錯誤,合約指向了錯誤的資產池(USDC 而非 USDT),攻擊者利用該配置漏洞,通過鑄造巨量 yUSDT 後套現 2 6。
2024 年 3 月 28 日 Prisma Finance 約 1000 萬美元 合約存在許可權管理和業務邏輯漏洞,攻擊者部署惡意合約,通過多筆操作盜取資金,手法涉及函式許可權問題和合約呼叫缺陷 1 5 6。
2025 年 6 月 26 日 Convex Finance(Resupply 子 DAO) 約 1000 萬美元 Resupply 子 DAO 合約存在業務邏輯漏洞,攻擊者利用合約缺陷非法轉移資金,具體為合約許可權或資金流轉校驗不足。
此外,Yishi 還對 Resupply 團隊的溝通態度提出批評。他表示團隊不僅缺乏透明度,甚至對提出異議的投資者進行嘲諷和封禁,這種行為是對社群信任的嚴重背叛。他呼籲 Resupply 制定公平的解決方案,將因技術失誤導致的損失歸還給使用者。
很快 Yishi 便遭到匿名人士的私信攻擊,釋出帶有歧視意味的模仿性詞彙 ching chong,也一度引發華語社群的普遍不滿。
衝突升級:與 Curve 創辦人的交鋒
Yishi 的公開維權很快引起與 Curve 創辦人 Michael Egorov 的直接衝突。在此之前,Curve Finance 官方就此安全事件發表宣告,「雖然 Resupply 並非由 Curve 開發者開發,但 Resupply 建立者能力出眾、經驗豐富,相信他們會竭盡全力解決這一問題。」
然而事件並未就此結束。
據 Yishi 透露,Michael 曾私下表示要起訴他,理由是其言論 「抹黑了 Curve 的名聲」。這一訊息在 X 平臺上引發了社群的激烈爭論,許多人認為 Curve 作為 Resupply 的合作伙伴,理應承擔部分責任,而非通過法律威脅壓制批評。
Yishi 在 X 上回應道:「Michael 說要起訴我汙衊 Curve 的名聲。問這是一種什麼樣的行為?老實人就活該被欺負是吧?」 他表示,儘管尊重 Michael 為調解事件所做的努力,但他不會因此放棄追責。
隨著事件發酵,一些使用者開始將 Yishi 的個人維權行動與 OneKey 品牌掛鉤,甚至指責 OneKey 「組織輿論攻擊」 Resupply。針對這些指控,OneKey 於 6 月 29 日在 X 平臺釋出嚴正宣告,澄清公司從未參與或操控任何輿論攻擊,Yishi 的維權行為屬於其個人投資行為,與 OneKey 的業務無關。
小結
Resupply 事件不僅是 Yishi 個人維權的縮影,也折射出 DeFi 行業在快速發展中暴露出的諸多問題。首先,智慧合約的安全性仍是 DeFi 專案的核心挑戰。儘管 Resupply 的漏洞看似低階,但類似事件在 DeFi 領域並不鮮見。2024 年,全球因駭客攻擊和詐騙導致的加密貨幣損失已超過 22 億美元,凸顯了行業安全標準的亟待提升。
其次,Resupply 團隊的處理方式暴露了 DeFi 專案在危機管理中的不足。缺乏透明度、壓制異議、推卸責任等行為不僅損害了投資者的信任,也可能對專案的長期發展造成毀滅性打擊。Yishi 的維權行動提醒社群,投資者有權要求專案方對技術失誤承擔責任,而不是將損失轉嫁給使用者。
事件還引發了對 DeFi 生態中合作伙伴責任的討論。Curve、Convex 等專案因與 Resupply 的合作而被捲入爭議,這表明 DeFi 專案的互聯性既是其優勢,也可能成為風險的放大器。未來,如何在生態合作中明確責任分配,將是 DeFi 行業需要解決的重要課題。
📍相關報導📍
Hyperliquid 生態熱門項目盤點:DEX、DeFi、跨鏈、借貸….
