Hacking af Resupply Protokollen
Den 26. juni blev wstUSR-markedet under den decentrale stablecoin-protokol Resupply rapporteret at være blevet hacket, og cirka 9,5 millioner USD i aktiver blev overført. I kryptovaluta-verdenen er sådanne hændelser ikke usædvanlige. Det beløb, der blev stjålet fra Resupply, er ikke engang bemærkelsesværdigt, men det har skabt kontrovers i fællesskabet.
Kontroverser og Kritik
Især har projektteamet ikke genvundet hackerens midler, holdt dem ansvarlige, rapporteret dem til politiet eller tilbudt en belønning. I stedet brugte de fællesskabsaktiver til at dække hullet, hvilket intensiverede fællesskabets vrede. OneKey-grundlægger Yishi, SlowMist-grundlægger Yu Xian og andre kryptovaluta-eksperter stod frem for at kritisere projektteamet, og denne offentlige debat om governance er eskaleret til racemæssig diskrimination.
Angrebsdetaljer
Resupply er en decentraliseret stablecoin-protokol bygget omkring crvUSD, og dens underliggende struktur er stærkt afhængig af handelspuljestrukturen, rente-modellen og aktiv-peg-logikken i Curve-økosystemet. Den 26. juni opdagede sikkerhedsfirmaet BlockSec først unormale pengestrømme i Resupply og vurderede indledningsvis tabet til at være 9,5 millioner USD. Angrebsvejen blev derefter nedbrudt: angriberen udnyttede en strukturel designfejl i Resupplys implementering af wstUSR-vaulten.
“Specifikt ved at injicere omhyggeligt konstruerede parametre i Controller-kontrakten, blev exchangeRate straks nul, kollateralopdagelsen fejlede, og alle likvidations- og risikostyringsmekanismer blev omgået.”
Med kun 1 wei som kollateral lånte angriberen et stort beløb af reUSD, konverterede aktiverne til ETH efter hvidvaskningen og blandede mønterne gennem Tornado Cash.
Reaktioner fra Fællesskabet
Yu Xian, grundlæggeren af SlowMist, sagde, at dette var et rentefejl i inflation. Resupply udgav en hackerangrebsanalyse den 28. juni, som påpegede, at angrebet på Resupplys crvUSD-wstUSR handelspar forårsagede omkring 10 millioner USD i reUSD dårlige gæld. I øjeblikket er gældsgrænsen for de berørte token-par sat til 0, og udbetalinger fra forsikringspuljen er blevet suspenderet.
Den 29. juni indledte det officielle team for Resupply-protokollen et forslag til afhjælpningsforanstaltninger i fællesskabet, der erklærede, at det hurtigt ville reparere driften af protokollen gennem fællesskabets konsensus. Forslaget blev dog mødt med skepsis, da det ikke nævnte genvinding af hackerens midler eller ansvarlighed.
Racemæssig Diskrimination og Offentlig Debat
Den 28. juni postede OneKey-grundlægger Yishi en besked, hvor han sagde, at han stødte på det åbenlyse racemæssige diskriminationsord “chixx choxx”. Dette vakte stor offentlig vrede, og mange mennesker i branchen iværksatte straks en Slash-handling for at støtte Yishi.
“Racemæssig diskrimination er uacceptabel i enhver sammenhæng.”
Den 29. udstedte OneKey officielt en erklæring for at præcisere, at det aldrig har tilskyndet til offentlige angreb på Curve eller noget projekt.
Konklusion
Resupply-hændelsen startede som et hackerangreb og udviklede sig til en omfattende krise omkring governance-ansvar, fællesskabskommunikation, racemæssig diskrimination og brandetik. Dette er ikke første gang, DeFi er blevet angrebet, og det vil heller ikke være den sidste. Men det kan være første gang, at fællesskabet er blevet presset ind i rollen som taber uden nogen respons fra hackeren eller en undskyldning fra projektet.
