Hakkerointi Resupply-protokollassa
26. kesäkuuta wstUSR-markkinoilla, jotka toimivat hajautetun stablecoin-protokollan Resupply alla, raportoitiin hakkeroinnista, jossa noin 9,5 miljoonaa Yhdysvaltain dollaria varoja siirrettiin. Kryptomaailmassa tällaiset tapahtumat eivät ole harvinaisia. Resupplyltä varastettu summa ei ole poikkeuksellinen, mutta se on aiheuttanut kiistaa yhteisössä. Erityisesti projektitiimi ei palauttanut hakkerin varoja, ei pitänyt häntä vastuullisena, ei ilmoittanut asiasta poliisille tai tarjonnut palkkiota. Sen sijaan he käyttivät yhteisön varoja aukon täyttämiseen, mikä lisäsi yhteisön vihaa.
OneKeyn perustaja Yishi, SlowMistin perustaja Yu Xian ja muut kryptoväen edustajat vaativat projektitiimiltä vastuuta, ja tämä hallintoa koskeva julkinen mielipide on jopa eskaloitunut rodulliseksi syrjinnäksi.
Resupply-protokollan taustat
Resupply on hajautettu stablecoin-protokolla, joka on rakennettu crvUSD:n ympärille, ja sen taustarakenteet ovat vahvasti riippuvaisia Curve-ekosysteemin kaupankäyntialtaiden rakenteesta, korkomallista ja varojen sidontalogistiikasta. Houkuttelemalla likviditeettiä kaupankäyntiparien, kuten crvUSD-wstUSR, kautta, projekti on kerännyt kymmeniä miljoonia dollareita lukittuja positioita lyhyessä ajassa.
Koodin käytöstä, hallintologistiikasta ja valtionvarainhoitomenetelmistä Resupply näyttää itsenäiseltä korkealta rakennukselta, mutta se on itse asiassa syvälle juurtunut Curve- ja Convexin kahden suuren DeFi-infrastruktuurin väliin.
Hyökkäyksen yksityiskohdat
26. kesäkuuta turvallisuusyritys BlockSec havaitsi ensimmäisenä poikkeavia varavirtoja Resupplyssä ja arvioi aluksi tappion olevan 9,5 miljoonaa dollaria. Hyökkäystie purettiin: hyökkääjä käytti hyväkseen rakenteellista suunnitteluvirhettä Resupplyn wstUSR-vaultin käyttöönotossa. Tarkemmin sanottuna, injektoimalla huolellisesti rakennettuja parametreja Controller-sopimukseen, vaihtoarvo nollautui välittömästi, vakuuden tarkistus epäonnistui, ja kaikki likvidointimekanismit ja riskinhallintamekanismit ohitettiin.
Vain 1 wei vakuutena hyökkääjä lainasi suuren määrän reUSD:ta, muutti varat ETH:ksi pesun jälkeen ja sekoitti kolikot Tornado Cashin kautta. Tämän jälkeen varojen menetys oli arvoltaan noin 9,5 miljoonaa Yhdysvaltain dollaria.
SlowMistin perustaja Yu Xian totesi, että tämä oli korkoinflaatiovaje.
Resupplyn reaktiot ja yhteisön reaktiot
Resupply julkaisi 28. kesäkuuta hakkerihyökkäysanalyysiraportin, jossa todettiin, että hyökkäys Resupplyn crvUSD-wstUSR-kaupankäyntipariin aiheutti noin 10 miljoonaa dollaria reUSD-huonoa velkaa, mutta haavoittuvuus oli vain tietyssä token-kaupankäyntiparissa. Muut token-kaupankäyntiparit eivät olleet vaikuttaneet, ja Resupply-markkinat toimivat normaalisti.
29. kesäkuuta Resupply-protokollan virallinen tiimi aloitti korjaustoimenpiteiden ehdotuksen yhteisössä, julistaen, että se korjaisi nopeasti protokollan toiminnan yhteisön konsensuksen kautta. Ehdotuksen tarkat sisällöt ovat seuraavat:
- Vaihe 1: Ota välittömiä hallintotoimia vakuutuspoolin (IP) tokenin tuhoaminen.
- Vaihe 2: Vakuutuspoolin säilyttämissuunnitelma.
Ehdotus määrittelee erityisesti: IP-nostoaika. Jos hyväksytään, ehdotus sitoutuu DAO:ta jakamaan yhteensä 2,5 miljoonaa vastaanottajille 52 viikon aikana.
Ehdotuksen ydin voidaan tulkita seuraavasti: Ehdotus on näennäisesti nopea ”yhteisön yhteistyö”, mutta yhteisö näkee sen yleisesti ”neuvottelemattomana käyttäjämaksumekanismina”.
Yhteisön tyytymättömyys
Hyökkäyksen jälkeen Resupplyn Discord-ryhmä räjähti. Käyttäjien tyytymättömyys keskittyy kolmeen näkökulmaan:
- OneKeyn perustaja Yishi vaati, että Curve tarjoaisi oikeudenmukaisen ratkaisun jokaiselle sijoittajalle ja palauttaisi käyttäjien varat.
- Yhteisön jäsen 3D julkaisi videon, jossa syytettiin Resupplyn tiimiä erilaisista laiminlyönneistä.
- Yu Xian, SlowMistin perustaja, lisäsi, että projektin omistaja ei ole tehnyt mitään lausuntoa tai ilmaissut kantaansa palkkiosta.
Rodullinen syrjintä ja sen seuraukset
28. kesäkuuta OneKeyn perustaja Yishi julkaisi viestin, jossa hän kertoi kohdanneensa ilmeistä rodullista syrjintää kommunikoidessaan projektin jäsenten kanssa. Tämä herätti suurta julkista vihaa.
Sanaa pidetään laajalti loukkaavana ilmaisuna kiinalaiselle yhteisölle.
OneKey julkaisi virallisen lausunnon selventääkseen, että se ei ole koskaan yllyttänyt, järjestänyt tai manipuloitunut mitään KOL:ia tai käyttäjää minkäänlaiseen julkisen mielipiteen hyökkäykseen Curvea tai mitään projektia vastaan.
Johtopäätökset
Resupply-tapahtuma alkoi hakkerihyökkäyksenä ja kehittyi lopulta kattavaksi kriisiksi, joka koski hallintovastuuta, yhteisöviestintää, rodullista syrjintää ja brändietiikkaa. Tämä ei ole ensimmäinen kerta, kun DeFi on joutunut hyökkäyksen kohteeksi, eikä se tule olemaan viimeinen. Mutta se saattaa olla ensimmäinen kerta, kun yhteisö on pakotettu kantamaan tappiot ilman hakkerin vastausta tai projektin anteeksipyyntöä.
DeFi-maailmassa luottamuksen perusta ei ole valkoisessa paperissa tai auditointiraportissa, vaan projektin osapuolen ensimmäisessä reaktiossa tapahtuman jälkeen. Hallintoehdotukset voivat ehkä korjata protokollan, mutta ne eivät voi korjata revittyä yhteisöä. Protokolla toimii edelleen, mutta luottamus on kadonnut eikä koskaan palaa.
