Resupply 因漏洞遭窃 960 万美元，竟让用户买单？

撰文：1912212.eth，Foresight News

近年来，DeFi 领域的快速发展吸引了无数投资者和开发者，但其高风险和高回报并存的特性也频频引发不小问题，比如频频上演的黑客攻击盗取资金事件就困扰不少链上理财与套利者。6 月 27 日，DeFi 协议 Resupply 因重大安全漏洞导致 960 万美元的资金被盗，这一事件因 OneKey 创始人王一石（Yishi Wang）发起的维权行动而被社区广为人知。

Yishi 作为 Resupply 的主要投资人之一，公开批评项目方的失误并呼吁相关方承担责任，其行动在社区内引发了广泛讨论，甚至与 Curve 创始人 Michael Egorov 的激烈交锋。

合约漏洞致用户资金被洗劫一空

Resupply 新兴的 DeFi 协议，旨在通过创新的流动性管理和收益策略吸引用户和投资者。DeFi 协议通常通过智能合约实现资金池的自动化管理，允许用户存入加密资产以获取收益。然而，这类协议的复杂性和代码漏洞常常成为黑客攻击的目标。Resupply 自推出以来，凭借其高收益承诺和与 Curve、Convex、Yearn 等知名 DeFi 项目的合作，迅速吸引了大量资金和关注，被盗事件发生前管理着数亿美元的资产。

加密钱包公司 OneKey 的创始人王一石，是 Resupply 的前三大投资人之一。据其 X 上的公开声明，他个人向 Resupply 投资了数百万美元，本次攻击事件不仅造成了重大经济损失，也带来了巨大的心理压力。

根据 Yishi 的分析，事件的根本原因是 Resupply 团队在部署新资金池（vault）时未能销毁初始份额，导致智能合约中的 ERC-4626 标准出现“通胀型铸币漏洞”。这一漏洞允许攻击者以零成本铸造无限量的代币，进而将资金池中的资产洗劫一空。

Yishi 评论道：“这不是黑天鹅事件，是人祸，是开发层级的严重疏忽。”他指出，这一漏洞并非外部黑客利用复杂技术手段，而是团队在基础代码部署上的低级错误。这种失误在 DeFi 领域尤为致命，因为智能合约的不可篡改性意味着一旦漏洞被利用，损失几乎无法挽回。

沉默、禁言并尝试让投资者承担损失

区块链黑客攻击事件时时刻刻都在不断上演，过去数年有多个公链、DeFi、交易所都上演过被黑客攻击的惊魂时刻。我们会发现，其官方团队往往会及时表态，并第一时间向黑客喊话，然而 Resupply 团队的处理方式则令人匪夷所思。不仅沉默应对黑客攻击者，甚至「直至目前仍未做技术溯源 / 白帽赏金有关工作」。

Yishi 透露，团队并未第一时间展开调查或报警，而是试图通过保险池让投资者承担损失，同时在官方 Discord 服务器中封锁质疑者的发言。身为主要投资人的 Yishi 在提出合理质疑后，竟被团队无预警禁言，这一行为令他感到“震惊且愤怒”。

最新提案显示，项目方将通过保险池来承担坏账

面对 Resupply 团队的不作为和压制异议的态度，Yishi 选择在 X 平台上公开维权。他发表长文，详细披露了事件的前因后果，并点名批评 Resupply 团队的失责行为。他强调保险池的设计是为了应对不可预测的黑天鹅事件，而非弥补开发团队的低级错误。他质问道：“如果开发失误都可以由用户买单，那这根本是劫富济穷的假保险。”

Yishi 的维权行动不仅针对 Resupply 团队，还延伸至与该项目合作的知名 DeFi 协议，如 Curve、Convex 和 Yearn。他指出，这些项目通过为 Resupply 提供流动性支持和背书，获得了曝光和收益，因此在事件发生后不应置身事外。特别是 Curve，其稳定币 crvUSD 在 Resupply 的资金池中扮演了重要角色。Yishi 呼吁这些项目的开发者和财库共同承担赔偿责任，以弥补投资者的损失。

据公开信息显示，近年其相关协议项目方平均每年被盗 1000 万美元，也引发社区对其监守自盗的怀疑。

• 2021 年 Yearn Finance 约 1100 万美元 由于合约业务逻辑漏洞，攻击者利用协议未充分防护的资金流动性，进行闪电贷攻击，操控资金池实现套利。

• 2023 年 3 月 Yearn Finance 约 140 万美元 受 Euler Finance 被黑影响，Yearn Finance 与其存在资金关联，导致间接受损，本身合约无漏洞。

• 2023 年 4 月 13 日 Yearn Finance 约 1160 万美元 早期 iearn yUSDT 合约配置错误，合约指向了错误的资产池（USDC 而非 USDT），攻击者利用该配置漏洞，通过铸造巨量 yUSDT 后套现 2 6。

• 2024 年 3 月 28 日 Prisma Finance 约 1000 万美元 合约存在权限管理和业务逻辑漏洞，攻击者部署恶意合约，通过多笔操作盗取资金，手法涉及函数权限问题和合约调用缺陷 1 5 6。

• 2025 年 6 月 26 日 Convex Finance（Resupply 子 DAO） 约 1000 万美元 Resupply 子 DAO 合约存在业务逻辑漏洞，攻击者利用合约缺陷非法转移资金，具体为合约权限或资金流转校验不足。

此外，Yishi 还对 Resupply 团队的沟通态度提出批评。他表示团队不仅缺乏透明度，甚至对提出异议的投资者进行嘲讽和封禁，这种行为是对社区信任的严重背叛。他呼吁 Resupply 制定公平的解决方案，将因技术失误导致的损失归还给用户。

很快 Yishi 便遭到匿名人士的私信攻击，发布带有歧视意味的模仿性词汇 ching chong，也一度引发华语社区的普遍不满。

冲突升级：与 Curve 创始人的交锋

Yishi 的公开维权很快引起与 Curve 创始人 Michael Egorov 的直接冲突。在此之前，Curve Finance 官方就此安全事件发表声明，「虽然 Resupply 并非由 Curve 开发者开发，但 Resupply 创建者能力出众、经验丰富，相信他们会竭尽全力解决这一问题。」

然而事件并未就此结束。

据 Yishi 透露，Michael 曾私下表示要起诉他，理由是其言论“抹黑了 Curve 的名声”。这一消息在 X 平台上引发了社区的激烈争论，许多人认为 Curve 作为 Resupply 的合作伙伴，理应承担部分责任，而非通过法律威胁压制批评。

Yishi 在 X 上回应道：“Michael 说要起诉我污蔑 Curve 的名声。问这是一种什么样的行为？老实人就活该被欺负是吧？”他表示，尽管尊重 Michael 为调解事件所做的努力，但他不会因此放弃追责。

随着事件发酵，一些用户开始将 Yishi 的个人维权行动与 OneKey 品牌挂钩，甚至指责 OneKey“组织舆论攻击”Resupply。针对这些指控，OneKey 于 6 月 29 日在 X 平台发布严正声明，澄清公司从未参与或操控任何舆论攻击，Yishi 的维权行为属于其个人投资行为，与 OneKey 的业务无关。

小结

Resupply 事件不仅是 Yishi 个人维权的缩影，也折射出 DeFi 行业在快速发展中暴露出的诸多问题。首先，智能合约的安全性仍是 DeFi 项目的核心挑战。尽管 Resupply 的漏洞看似低级，但类似事件在 DeFi 领域并不鲜见。2024 年，全球因黑客攻击和诈骗导致的加密货币损失已超过 22 亿美元，凸显了行业安全标准的亟待提升。

其次，Resupply 团队的处理方式暴露了 DeFi 项目在危机管理中的不足。缺乏透明度、压制异议、推卸责任等行为不仅损害了投资者的信任，也可能对项目的长期发展造成毁灭性打击。Yishi 的维权行动提醒社区，投资者有权要求项目方对技术失误承担责任，而不是将损失转嫁给用户。

事件还引发了对 DeFi 生态中合作伙伴责任的讨论。Curve、Convex 等项目因与 Resupply 的合作而被卷入争议，这表明 DeFi 项目的互联性既是其优势，也可能成为风险的放大器。未来，如何在生态合作中明确责任分配，将是 DeFi 行业需要解决的重要课题。