Hackerattack mot Resupply
Den 26 juni rapporterades att wstUSR-marknaden under det decentraliserade stablecoin-protokollet Resupply hade blivit hackad, vilket resulterade i att cirka 9,5 miljoner USD i tillgångar överfördes. I kryptovärlden är sådana incidenter inte ovanliga. Det stulna beloppet från Resupply är inte ens anmärkningsvärt, men det har orsakat kontroverser inom gemenskapen. Särskilt projektteamet har inte återhämtat hackerens medel, hållit dem ansvariga, anmält dem till polisen eller erbjudit en belöning. Istället har de använt gemenskapsresurser för att fylla hålet. Som ett resultat har gemenskapens ilska intensifierats.
Offentlig kritik och kontroverser
OneKey-grundaren Yishi, SlowMist-grundaren Yu Xian och andra kryptopersoner har offentligt kritiserat projektteamet, och denna offentliga opinion har även eskalerat till frågor om rasdiskriminering. Odaily Planet Daily kommer att granska hela incidenten, sortera ut orsakerna till konflikten och klargöra alla parters positioner.
Resupply är ett decentraliserat stablecoin-protokoll byggt kring crvUSD, och dess underliggande struktur är starkt beroende av handelspoolstrukturen, ränte-modellen och tillgångspeg-logiken i Curve-ekosystemet. Genom att attrahera likviditet genom handelspar som crvUSD-wstUSR har projektet snabbt ackumulerat tiotals miljoner dollar i låsta positioner.
Incidentens detaljer
Den 26 juni upptäckte säkerhetsföretaget BlockSec först onormala penningflöden i Resupply och uppskattade initialt förlusten till 9,5 miljoner USD. Angreppsvägen analyserades: angriparen utnyttjade ett strukturellt designfel i Resupplys implementering av wstUSR-valvet. Genom att injicera noggrant konstruerade parametrar i Controller-kontraktet blev exchangeRate omedelbart noll, säkerhetsdetekteringen misslyckades och alla likvidations- och riskkontrollmekanismer kringgicks. Med endast 1 wei som säkerhet lånade angriparen en stor mängd reUSD, konverterade tillgångarna till ETH efter tvättningen och blandade mynten genom Tornado Cash.
Yu Xian, grundaren av SlowMist, beskrev detta som ett ränteinflationshål.
Resupply släppte en analysrapport om hackerattacken den 28 juni, som påpekade att attacken mot Resupplys crvUSD-wstUSR-handelspar orsakade cirka 10 miljoner USD i reUSD dålig skuld, men sårbarheten fanns endast i ett specifikt tokenhandelspar. Andra tokenhandelspar påverkades inte, och Resupply-marknaden fungerade som vanligt.
Gemenskapens reaktion
För närvarande har skuldkvoten för de påverkade tokenparen satts till 0 och uttag från försäkringspoolen har stoppats. En formell styrningsomröstning krävs för att lyfta avstängningen. Den problematiska kodsegmentet har genomgått flera säkerhetsrevisioner, och oberoende forskare har anlitats för att granska kodbasen, men problemet har inte rapporterats. I detta skede är de stulna medlen fortfarande på kedjan, och den relevanta situationen övervakas och nödvändiga åtgärder kommer att vidtas.
Sårbarheten i sig är inte komplicerad, men den bryter igenom protokollets kärnsäkerhetsgräns. Men den verkliga kontroversen börjar med projektets åtgärder för att rätta till situationen. Den 29 juni initierade det officiella teamet för Resupply-protokollet ett förslag om åtgärder i gemenskapen och förklarade att de snabbt skulle reparera protokollets drift genom gemenskapskonsensus.
Förslag och kritik
De specifika innehållen i förslaget är som följer:
- Fase 1: Vidta omedelbara styrningsåtgärder
- Försäkringspool (IP) tokenförstörelse: Vid tidpunkten för skrivandet av förslaget är den totala utestående dåliga skulden 7 131 168 reUSD efter att Resupply Protocol Treasury, Convex Treasury och C2tP har betalat ut 2 868 832 reUSD.
- IP Uttagsperiod:
- Fase 2: Försäkringspoolens behållningsplan. Om det godkänns, åtar sig förslaget DAO att distribuera totalt 2,5 miljoner till mottagare under 52 veckor.
Kärnan i ovanstående förslag kan tolkas som: Förslaget är på ytan en snabb ”gemenskaps-samarbete”, men gemenskapen ser det allmänt som en ”icke-förhandlad användarbetalningsmekanism”. Försäkringspoolen var ursprungligen avsedd för att hantera marknadsfluktuationer, inte projektimplementeringssårbarheter; och förslaget nämnde inte återhämtning av hackerens medel, ansvar, anmälan till polisen och belöning.
Projektets första reaktion var att använda gemenskapsresurser för att fylla hålet, snarare än att ta reda på ansvaret för sårbarheten. Styrning har blivit ett verktyg för ”att flytta ansvar”.
Slutord
Återförsörjningsincidenten började som en hackerattack och utvecklades slutligen till en omfattande kris kring styrningsansvar, gemenskapskommunikation, rasdiskriminering och varumärkesetik. Detta är inte första gången DeFi har blivit attackerat, och det kommer inte att vara den sista. Men det kan vara första gången som gemenskapen har pressats in i rollen som förlustbärare utan något svar från hackern eller en ursäkt från projektet. I DeFi-världen ligger grunden för förtroende inte i vitboken eller revisionsrapporten, utan i projektpartiets första respons efter incidenten. Styrningsförslag kan kanske reparera protokollet, men de kan inte reparera den söndrade gemenskapen. Protokollet fungerar fortfarande, men förtroendet är borta och kommer aldrig tillbaka.
