DeFi协议Resupply被盗960万美元：一场技术失误与治理傲慢引发的信任崩塌

作者：Fairy，ChainCatcher

编辑：TB，ChainCatcher

在危机中，团队的第一反应往往暴露其真实底色。去中心化稳定币协议Resupply近日因黑客攻击损失960万美元，原本看似“常规”的安全事故却因项目方的不当处理迅速演变为一场涵盖技术失误、治理失职和社区撕裂的多重危机。

事件回顾：从技术漏洞到公关灾难

6月26日，Resupply遭遇攻击，损失约950万美元。事故发生后，团队仅发布简要推文说明情况，未采取追踪黑客或发布悬赏等措施，引发社区强烈不满。

用户在Discord中提出质疑后遭到禁言甚至移除，进一步加剧了社区的对立情绪。OneKey创始人Yishi公开发声，披露自己作为Resupply三大投资者之一，损失数百万美元，并指责项目方将坏账强行分摊给保险池存款人，让普通质押用户为技术失误买单。

6月28日，Resupply发布攻击分析报告，称漏洞仅影响特定代币交易对，并提出动用保险池600万枚reUSD兜底坏账的治理提案，剩余部分则计划通过未来协议收益逐步偿还。然而，此举未能平息社区愤怒。

6月29日，Yishi再度发声，批评团队第一时间不是追责，而是选择“直接从用户兜里掏钱”，甚至延长解锁期、限制提现。与此同时，社群中充斥辱骂和种族歧视等言论，进一步恶化了舆论环境。

DeFi研究员@22333D发布多个视频，痛批团队在发生低级合约错误后毫无责任担当。慢雾创始人余弦也公开表示，建议将此次事件纳入史上安全事故处置恶劣榜TOP 10观察区。

Resupply背后团队的“安全黑历史”

本次攻击中，黑客利用ResupplyPair合约中的价格操纵漏洞，结合ERC4626通胀漏洞，通过1 wei的抵押品借出约1000万美元的reUSD。这种攻击手法并不复杂，加密KOL子时甚至称其为“最低级常见”的错误，显示出团队在核心合约设计上的严重疏忽。

更令人担忧的是，这并非Resupply团队首次陷入安全风波。早在2024年3月，Resupply前身Prisma Finance就因黑客攻击损失逾1160万美元。尽管攻击者自称白帽，但事件最终无疾而终，直到9个月后，Prisma项目正式关闭，转而启动Resupply作为“继任者”。

据社区用户整理，过去数年间，该团队关联项目平均每年都出现近千万美元的资金损失。这一反常的“事故频率”让社区开始质疑其背后团队是否涉嫌监守自盗。

信任蔓延的裂缝：Curve生态的连锁反应

随着Resupply舆情发酵，Curve也被卷入这场信任危机的漩涡。尽管两者并非同一团队，但关系紧密。Resupply协议构建在Curve生态系统之上，依赖其流动性池与机制支持。上线初期，Curve官方还曾为Resupply宣传背书。

许多用户基于对Curve的信任选择在Resupply上质押、参与保险池，而Resupply的增长也曾为Curve注入活力。然而，如今“续命盘”陷入争议，反而将其旧账一并翻出。

在社区舆论中，一部分用户声称将抵制Curve生态项目；另一部分则认为Curve不应为生态项目的技术失误兜底。更多用户对Curve团队及创始人Michael的事后反应感到失望：急于澄清与Resupply的关系，且在公开发言中更倾向于维护Resupply项目方。

此外，Michael在OneKey创始人Yishi公开维权后，不仅声称“今后不会再使用OneKey产品”，还表示将起诉Yishi“损害Curve名誉”。

Resupply的信任崩塌，不仅源于代码失误，更如一面镜子，映照出项目方在危机中暴露的道德底线，也揭示了生态在扩张中对责任、透明与担当的缺失。事故的余波终将平息，但信任的裂痕却可能永远无法弥合。