不追踪黑客、公关失控：复盘 DeFi 协议 Resupply 960 万美元被盗事件始末

作者：Fairy，ChainCatcher

编辑：TB，ChainCatcher

出事后的第一反应，往往暴露一个团队的真实底色。

去中心化稳定币协议Resupply 被盗 960 万美元，原本看似“常规”的DeFi安全事故，却在短短数日内急剧恶化：项目方不喊话不表态不悬赏，投资者OneKey 创始人公开维权。事件从技术问题迅速演变为价值观冲突，并波及背后的Curve生态。

这不再是一场简单的被盗事故，而是一场在技术失误与治理傲慢夹击下，失控到全盘牵连的连锁崩塌。

事件回顾：从安全事故到公关灾难

6 月 26 日，Resupply 遭遇攻击，损失约 950 万美元。事故发生后，团队仅发布简要推文说明情况，却无追踪黑客或发布赏金的行动，引发社区疑惑。

同时，用户反映在 Discord 提出质疑后遭到禁言、移除，社区氛围迅速恶化。OneKey 创始人 Yishi 公开发声，披露自己作为 Resupply 三大投资者之一，损失数百万美元，并指出项目方正在将坏账强行分摊给保险池存款人，即让普通质押用户为技术失误买单。

6 月 28 日，Resupply 发布攻击分析报告，称漏洞仅影响特定代币交易对，其余市场正常运行，并提出动用保险池 600 万枚 reUSD 兜底坏账的治理提案，剩余部分则计划通过未来协议收益逐步偿还。然而，此举并未平息“怒火”。

6月29 日，Yishi 再度发声，批评团队第一时间不是追责，而是“直接从用户兜里掏钱”，甚至延长解锁期、限制提现。更严重的是，社群里充斥辱骂、种族歧视等言论。

除此之外，DeFi 研究员 @22333D 发布多个视频，痛批团队在发生低级合约错误后毫无责任担当。慢雾创始人余弦也公开表示，建议将其纳入史上安全事故处置恶劣榜TOP 10 观察区。

最终，这起安全事故演变成一场涵盖“失职治理 舆论压制 社区撕裂”的多重危机。

Resupply 背后团队的“安全黑历史”

本次攻击中，黑客利用 ResupplyPair合约中的价格操纵漏洞，结合ERC4626通胀漏洞，通过 1 wei 的抵押品借出约1000万美元的reUSD。然而，这种攻击手法并不复杂，加密 KOL子时甚至称其为“最低级常见”的错误，表现出团队在核心合约设计上的严重疏忽。

而更令人担忧的是，Resupply 背后的开发团队并非首次陷入安全风波。

早在 2024 年 3 月，Resupply 前身 Prisma Finance 就因黑客攻击损失逾 1160 万美元。虽然攻击者自称白帽，并多次在链上留言。但事件最终无疾而终，直到 9 个月后，Prisma 项目正式关闭，转而启动 Resupply 作为“继任者”。

除此之外，据社区用户整理，过去数年间，该团队关联项目平均每年都出现近千万美元的资金损失。（注：Resupply 是 Convex Finance 和 Yearnfi 的 subDAO 协议。）而这一反常的“事故频率”，让社区开始质疑其背后团队是否涉嫌监守自盗。

图源：@22333D

信任蔓延的裂缝： Curve 生态

随着Resupply舆情发酵，Curve 也被卷入了这场信任危机的漩涡。尽管两者并非同一团队，但关系紧密。Resupply协议构建在Curve生态系统之上，依赖其流动性池与机制支持。上线初期，Curve 官方还曾为Resupply宣传背书。

正因如此，许多用户基于对 Curve 的信任，选择在 Resupply 上质押、参与保险池。从结果上看，Resupply 的增长也确实反哺了 Curve。

加密KOL 加密韋馱表示，Curve在22年Luna暴雷之后，TVL已是断崖暴跌，且在多次事件包括Michael买房、2次自身被黑、stETH脱矛、FTX崩盘之后不断下滑。

而Resupply 在今年 3 月发射后，为 Curve 注入了活力，但如今“续命盘”陷入争议，反而将其旧账一并翻出。

在社区舆论中，一部分用户开始声称将抵制 Curve 生态项目；另一部分则认为 Curve 并不应为生态项目的技术失误兜底。但更多用户对Curve 团队及创始人 Michael 事后反应感到失望：急于澄清与 Resupply 的关系，且在公开发言中更倾向于维护Resupply项目方。

此外，Michael 在 OneKey 创始人 Yishi 公开维权后，不仅声称“今后不会再使用 OneKey 产品”，还表示将起诉 Yishi“损害 Curve 名誉”。

Resupply 的信任崩塌，不仅源于代码失误，更如一面镜子，映照出项目方在危机中暴露的道德底线，也揭示了生态在扩张中对责任、透明与担当的缺失。

事故的余波终将平息，但信任的裂痕却可能永远无法弥合。