DeFi契約Resupplyの960万ドル盗難事件の総括

執筆：妖精、チェーンキャッチャー

編集：TB。チェインキャッチャー

何かがうまくいかなかった後の最初の反応は、しばしばチームの本当の裏の顔を明らかにする。

分散型安定コインのプロトコルであるResupplyから960万ドルが盗まれた事件は、DeFiにとって一見「日常的」なセキュリティ事件であったが、数日のうちに劇的に悪化した。この事件はわずか数日で劇的に悪化した。プロジェクト・オーナーは呼びかけず、身を挺して報奨金を提供せず、投資家OneKeyの創設者は公に権利を擁護した。この事件は技術的な問題から価値観の対立へと急速に発展し、背後にあるCurveのエコシステムにも影響を及ぼしている。

これはもはや単純な盗難事故ではなく、技術的な失敗とガバナンスの傲慢さの攻撃を受けて、本格的なメルトダウンへと制御不能に陥った連鎖崩壊である。

事件の検証：セキュリティ事故からPR災害まで

6月26日、リサプライ社は攻撃を受け、約950万ドルの損失を被った。この事件の後、チームは状況を説明する簡単なツイートを投稿しましたが、ハッカーを追跡したり懸賞金をかけたりすることは何もせず、コミュニティから疑問の声が上がりました。

同時に、コミュニティの雰囲気は急速に悪化し、攻撃について疑問を呈した後、ユーザーからBANされ、Discordから削除されたことが報告された。 OneKeyの創設者であるYishi氏は公の場で発言し、Resupplyの3大投資家の1人として、数百万ドルを失ったことを明らかにし、プロジェクトが大金を失ったことを指摘した。OneKeyの創設者であるYishi氏は公の場で発言し、Resupplyの3人の投資家の一人として、数百万ドルを失ったことを明らかにし、このプロジェクトが保険プールの預金者に不良債権を押し付けていること、つまり、技術的な失敗の代償を平均的な誓約ユーザーに支払わせていることを指摘した。

6月28日、Resupplyは攻撃に関する分析を発表し、脆弱性は特定のトークン・ペアにのみ影響を及ぼし、残りの部分は正常に機能していると述べ、600万reUSDの保険プールを使って不良債権を引き受け、残りは将来の契約金を通じて徐々に返済するというガバナンス案を提案していると述べた。残りは将来の契約金で徐々に返済していく計画である。しかし、この動きは「怒り」を鎮めるものではなかった。

6月29日、義士は再び声を上げ、そもそも責任を追及するどころか、「ユーザーの懐から直接金を巻き上げる」、さらにはロック解除期間を延長し、引き出しを制限したことを批判した。Yishi氏は、責任を追求するのではなく、「ユーザーの懐から直接お金を巻き上げる」チームであると再び批判した。同社のコミュニティには、罵詈雑言や人種差別的なコメントもあふれている。

その上、DeFiの研究者@22333Dは、低レベルの契約ミスの後、チームの説明責任の欠如を非難する複数の動画を投稿した。また、Slow Mistの創設者であるYu Yinは、歴代の悪質なセキュリティインシデント処分のTOP10の観測範囲に入れることを推奨すると公言しています。

結局、この安全事故は「統治怠慢＋世論弾圧＋コミュニティ引き裂き」の複合危機へと発展した。

リサプライを支えるチームの「安全の黒歴史」

この攻撃では、ハッカーはResupplyPair契約の価格操作の脆弱性を悪用し、ERC4626のインフレの脆弱性と組み合わせて、1ウェイの担保を通じて約1000万ドルのreUSDを貸し出しました。しかし、この攻撃は洗練されたものではなく、暗号KOLはこれを「最低の一般的な」ミスとさえ呼んでおり、コア契約設計におけるチームの重大な過失を示しています。

さらに心配なのは、Resupplyの開発チームがセキュリティの大失敗に巻き込まれたのは今回が初めてではないということです。

2024年3月、Resupplyの前身であるPrisma Financeは、ハッカーによって1160万ドル以上を失った。攻撃者はホワイトハットを名乗り、チェーン上にいくつかのメッセージを残した。しかし、この事件は9ヵ月後、プリズマ・プロジェクトが正式に閉鎖され、その「後継」としてリサプライが立ち上げられるまで、結局どこにも行きませんでした。

それに加え、コミュニティ・ユーザーによると、チームの関連プロジェクトは過去数年間、年間平均で1000万ドル近い資金を失っている。(注：ResupplyはConvex FinanceとYearnfiの間のサブDAOプロトコルである）。この異常な "頻度 "は、Resupplyの背後にいるチームに窃盗の疑いがあるのではないかとコミュニティに疑問を抱かせた。

Photo by @22333D

広がる信頼の亀裂：カーブエコ広がる信頼の亀裂。

リサプライの話が膿むにつれ、カーブは信頼の危機の渦中に巻き込まれた。この2つは同じチームではないが、密接に関連しており、ResupplyプロトコルはCurveエコシステムの上に構築され、その流動性プールとサポート機構に依存している。立ち上げの初期に、CurveはResupplyを公式に支持した。

カーブへの信頼に基づいて、多くのユーザーがResupplyで誓約し、保険プールに参加することを選択したのはこのためです。

クリプトKOLのクリプトワーカー、ウェイン氏は、カーブのTVLは22年のルナの暴落の後、崖から急落し、以下のような複数の出来事の後、急落していると述べた。マイケルは家を購入し、彼自身の2つのハッキング、槍からsteth、そしてFTXのクラッシュの後、着実に下落している。

また、3月に発売された『Resupply』がカーブを活性化させた一方で、「リニューアル・ディスク」をめぐる論争が今、古い因縁を掘り起こしつつある。

コミュニティーの一部のユーザーは、Curveエコプロジェクトをボイコットすると主張し始め、他のユーザーは、Curveはエコプロジェクトの技術的な失敗の責任を負うべきでないと考えています。しかし、それ以上に多くのユーザーが、カーブチームと創設者マイケルの事後反応に失望している。彼らは慌ててリサプライとの関係を明らかにしようとし、公的な声明ではリサプライ側のプロジェクトを擁護する傾向が強かった。

さらに、マイケルは、OneKeyの創設者であるYishi氏が公に権利を擁護した後、「OneKeyを二度と使わない」と主張しただけでなく、「OneKeyを二度と使わない」ことを理由にYishi氏を訴えると発言しました。彼はまた、「カーブの評判を傷つけた」としてYishiを訴えると述べた。

再掲。"">Resupplyにおける信頼の崩壊は、コードエラーに起因するだけでなく、危機の中で露呈したプロジェクト側の倫理的境界を映し出し、エコシステムの拡大における責任、透明性、説明責任の欠如を明らかにする、鏡のような役割も果たしている。

事故の余波はいずれ収まりますが、信頼の溝は決して癒えないかもしれません。