Tiêu đề gốc: "Resupply bị đánh cắp 9,6 triệu đô la do lỗ hổng bảo mật và người dùng phải trả tiền?"
Nguồn gốc: 1912212.eth, Foresight News

Trong những năm gần đây, sự phát triển nhanh chóng của lĩnh vực DeFi đã thu hút vô số nhà đầu tư và nhà phát triển, nhưng đặc điểm rủi ro cao và lợi nhuận cao của nó cũng thường xuyên gây ra những vấn đề đáng kể, chẳng hạn như các cuộc tấn công thường xuyên của tin tặc đã gây rắc rối cho nhiều nhà quản lý tài chính và nhà đầu cơ trên chuỗi. Vào ngày 27 tháng 6, giao thức DeFi Resupply đã gặp phải một lỗ hổng bảo mật lớn dẫn đến việc đánh cắp 9,6 triệu đô la tiền quỹ. Sự cố này đã trở nên nổi tiếng rộng rãi trong cộng đồng do hành động bảo vệ quyền do Yishi Wang, người sáng lập OneKey khởi xướng.

Là một trong những nhà đầu tư chính của Resupply, Yishi đã công khai chỉ trích những sai lầm của dự án và kêu gọi các bên liên quan chịu trách nhiệm. Hành động của anh đã gây ra cuộc thảo luận rộng rãi trong cộng đồng và thậm chí là một cuộc đối đầu dữ dội với Michael Egorov, người sáng lập Curve.

Lỗ hổng hợp đồng khiến tiền của người dùng bị cướp

Resupply là một giao thức DeFi mới nổi nhằm mục đích thu hút người dùng và nhà đầu tư thông qua các chiến lược quản lý thanh khoản và lợi nhuận sáng tạo. Các giao thức DeFi thường tự động hóa việc quản lý nhóm quỹ thông qua các hợp đồng thông minh, cho phép người dùng gửi tài sản tiền điện tử để kiếm lợi nhuận. Tuy nhiên, tính phức tạp và lỗ hổng mã của các giao thức như vậy thường khiến chúng trở thành mục tiêu của các cuộc tấn công của tin tặc. Kể từ khi ra mắt, Resupply đã nhanh chóng thu hút được rất nhiều quỹ và sự chú ý với những lời hứa về lợi nhuận cao và sự hợp tác với các dự án DeFi nổi tiếng như Curve, Convex và Yearn. Công ty đã quản lý hàng trăm triệu đô la tài sản trước vụ trộm.

Wang Yishi, người sáng lập công ty ví tiền điện tử OneKey, là một trong ba nhà đầu tư hàng đầu vào Resupply. Theo tuyên bố công khai của anh trên X, cá nhân anh đã đầu tư hàng triệu đô la vào Resupply. Cuộc tấn công này không chỉ gây ra tổn thất tài chính đáng kể mà còn mang lại áp lực tâm lý lớn.

Theo phân tích của Yishi, nguyên nhân gốc rễ của sự cố là nhóm Resupply đã không phá hủy được cổ phần ban đầu khi triển khai một nhóm quỹ mới (vault), dẫn đến "lỗ hổng đúc tiền kiểu lạm phát" trong tiêu chuẩn ERC-4626 trong hợp đồng thông minh. Lỗ hổng này cho phép kẻ tấn công đúc một số lượng mã thông báo không giới hạn mà không mất phí, do đó cướp được tài sản trong nhóm quỹ.

Yishi bình luận: "Đây không phải là sự kiện thiên nga đen, mà là thảm họa do con người gây ra và là sự cẩu thả nghiêm trọng ở cấp độ phát triển". Ông chỉ ra rằng lỗ hổng này không phải do tin tặc bên ngoài sử dụng các biện pháp kỹ thuật phức tạp gây ra, mà là lỗi cấp thấp trong quá trình triển khai mã cơ bản của nhóm. Loại lỗi này đặc biệt nghiêm trọng trong lĩnh vực DeFi, vì tính bất biến của hợp đồng thông minh có nghĩa là một khi lỗ hổng bị khai thác, tổn thất gần như không thể đảo ngược.

Im lặng, Im lặng và Cố gắng Bắt Nhà đầu tư Chịu tổn thất

Các vụ tấn công blockchain liên tục xảy ra. Trong vài năm qua, nhiều chuỗi công khai, DeFi và sàn giao dịch đã trải qua những khoảnh khắc kinh hoàng khi bị tấn công. Chúng ta sẽ thấy rằng nhóm chính thức của họ thường bày tỏ lập trường của mình một cách kịp thời và hét lên với những kẻ tấn công càng sớm càng tốt, nhưng cách nhóm Resupply xử lý vấn đề này thật đáng kinh ngạc. Họ không chỉ phản ứng với những kẻ tấn công trong im lặng mà thậm chí còn "chưa thực hiện bất kỳ công việc truy vết kỹ thuật/tiền thưởng mũ trắng nào cho đến bây giờ".

Yishi tiết lộ rằng nhóm không ngay lập tức tiến hành điều tra hoặc gọi cảnh sát, mà cố gắng bắt các nhà đầu tư chịu tổn thất thông qua nhóm bảo hiểm, đồng thời chặn lời nói của những người đặt câu hỏi trên máy chủ Discord chính thức. Yishi, với tư cách là nhà đầu tư chính, đã bị nhóm im lặng mà không báo trước sau khi nêu ra những nghi ngờ hợp lý, khiến anh "sốc và tức giận".

Đề xuất mới nhất cho thấy dự án sẽ chịu nợ xấu thông qua quỹ bảo hiểm

Đối mặt với sự không hành động của nhóm Resupply và thái độ đàn áp bất đồng chính kiến, Yishi đã chọn cách công khai bảo vệ quyền lợi của mình trên nền tảng X. Anh đã xuất bản một bài viết dài, nêu chi tiết nguyên nhân và hậu quả của vụ việc, đồng thời chỉ trích nhóm Resupply vì hành vi vô trách nhiệm của họ. Anh nhấn mạnh rằng quỹ bảo hiểm được thiết kế để đối phó với các sự kiện thiên nga đen không thể đoán trước, thay vì để bù đắp cho những sai lầm cấp thấp của nhóm phát triển. Ông đặt câu hỏi: "Nếu người dùng có thể trả tiền cho những sai sót trong quá trình phát triển, thì đây chỉ đơn giản là bảo hiểm giả lấy của người giàu để giúp người nghèo".

Các hành động bảo vệ quyền của Yishi không chỉ nhắm vào nhóm Resupply mà còn mở rộng sang các giao thức DeFi nổi tiếng hợp tác với dự án, chẳng hạn như Curve, Convex và Yearn. Ông chỉ ra rằng các dự án này đã được biết đến và hưởng lợi bằng cách cung cấp hỗ trợ thanh khoản và xác nhận cho Resupply, vì vậy họ không nên đứng ngoài sau sự cố này. Đặc biệt là Curve, stablecoin crvUSD của công ty này đóng vai trò quan trọng trong nhóm tài trợ của Resupply. Yishi kêu gọi các nhà phát triển và kho bạc của các dự án này cùng nhau chịu trách nhiệm bồi thường để bù đắp cho các khoản lỗ của nhà đầu tư.

Theo thông tin công khai, trong những năm gần đây, trung bình 10 triệu đô la Mỹ đã bị đánh cắp từ các dự án giao thức liên quan của công ty này mỗi năm, điều này cũng làm dấy lên nghi ngờ của cộng đồng về hành vi biển thủ của công ty.

· Khoảng 11 triệu đô la Mỹ trong Yearn Finance vào năm 2021 Do lỗ hổng trong logic kinh doanh hợp đồng, kẻ tấn công đã lợi dụng tính thanh khoản của các quỹ không được giao thức bảo vệ hoàn toàn, thực hiện các cuộc tấn công cho vay nhanh và thao túng nhóm tiền tài trợ để đạt được mục đích chênh lệch giá.

· Tháng 3 năm 2023 Yearn Finance Khoảng 1,4 triệu đô la Mỹ Bị ảnh hưởng bởi vụ hack Euler Finance, Yearn Finance có quan hệ tài chính với công ty này, dẫn đến thiệt hại gián tiếp và bản thân hợp đồng không có lỗ hổng.

· Ngày 13 tháng 4 năm 2023 Yearn Finance Khoảng 11,6 triệu đô la Mỹ Cấu hình hợp đồng yUSDT iearn ban đầu là sai và hợp đồng chỉ đến nhóm tài sản sai (USDC thay vì USDT). Kẻ tấn công đã lợi dụng lỗ hổng cấu hình và rút 2 6 bằng cách đúc một lượng lớn yUSDT.

· Ngày 28 tháng 3 năm 2024 Prisma Finance Khoảng 10 triệu đô la Mỹ Hợp đồng có lỗ hổng quản lý quyền và logic kinh doanh. Kẻ tấn công đã triển khai các hợp đồng độc hại và đánh cắp tiền thông qua nhiều hoạt động. Phương pháp này liên quan đến các vấn đề về quyền chức năng và lỗi gọi hợp đồng 1 5 6.

· Ngày 26 tháng 6 năm 2025 Convex Finance (Resupply sub-DAO) Khoảng 10 triệu đô la Hợp đồng Resupply sub-DAO có lỗ hổng logic kinh doanh và kẻ tấn công đã khai thác lỗi hợp đồng để chuyển tiền bất hợp pháp, cụ thể là quyền hợp đồng không đủ hoặc xác minh dòng tiền.

Ngoài ra, Yishi cũng chỉ trích thái độ giao tiếp của nhóm Resupply. Ông cho biết nhóm này không chỉ thiếu minh bạch mà còn chế giễu và cấm các nhà đầu tư đưa ra phản đối, đây là hành vi phản bội nghiêm trọng lòng tin của cộng đồng. Ông kêu gọi Resupply phát triển một giải pháp công bằng để trả lại những tổn thất do lỗi kỹ thuật gây ra cho người dùng.

Ngay sau đó, Yishi đã bị tấn công bằng các tin nhắn riêng ẩn danh, đăng những từ bắt chước mang tính phân biệt đối xử ching chong, điều này cũng gây ra sự bất bình rộng rãi trong cộng đồng Trung Quốc.

Xung đột leo thang: đối đầu với người sáng lập Curve

Quyền công khai bảo vệ của Yishi đã sớm dẫn đến xung đột trực tiếp với người sáng lập Curve Michael Egorov. Trước đó, Curve Finance đã chính thức đưa ra tuyên bố về sự cố bảo mật này, "Mặc dù Resupply không phải do các nhà phát triển Curve phát triển, nhưng những người sáng tạo ra Resupply có năng lực và kinh nghiệm, và tôi tin rằng họ sẽ cố gắng hết sức để giải quyết vấn đề này."

Tuy nhiên, sự cố không dừng lại ở đó.

Theo Yishi, Michael đã bày tỏ ý định kiện riêng với lý do rằng những phát biểu của ông "làm mất uy tín của Curve". Tin tức này đã gây ra cuộc tranh luận gay gắt trong cộng đồng trên nền tảng X và nhiều người tin rằng Curve, với tư cách là đối tác của Resupply, nên chịu một phần trách nhiệm thay vì dập tắt những lời chỉ trích thông qua các mối đe dọa pháp lý.

Yishi trả lời trên X: "Michael nói rằng anh ta sẽ kiện tôi vì đã bôi nhọ danh tiếng của Curve. Đây là loại hành vi gì vậy? Những người trung thực đáng bị bắt nạt, đúng không?" Anh ta nói rằng mặc dù anh ta tôn trọng những nỗ lực của Michael trong việc hòa giải vụ việc, nhưng anh ta sẽ không từ bỏ việc theo đuổi trách nhiệm.

Khi vụ việc trở nên căng thẳng, một số người dùng bắt đầu liên kết các hành động bảo vệ quyền cá nhân của Yishi với thương hiệu OneKey, và thậm chí cáo buộc OneKey "tổ chức các cuộc tấn công dư luận" Resupply. Để đáp lại những cáo buộc này, OneKey đã đưa ra một tuyên bố long trọng trên nền tảng X vào ngày 29 tháng 6, làm rõ rằng công ty chưa bao giờ tham gia hoặc thao túng bất kỳ cuộc tấn công dư luận nào và hành vi bảo vệ quyền của Yishi là hành vi đầu tư cá nhân của anh ta và không liên quan gì đến hoạt động kinh doanh của OneKey.

Tóm tắt

Sự cố Resupply không chỉ là một mô hình thu nhỏ về việc bảo vệ quyền cá nhân của Yishi mà còn phản ánh nhiều vấn đề mà ngành DeFi phơi bày trong quá trình phát triển nhanh chóng của nó. Đầu tiên, tính bảo mật của hợp đồng thông minh vẫn là một thách thức cốt lõi đối với các dự án DeFi. Mặc dù lỗ hổng của Resupply có vẻ ở mức độ thấp, nhưng các sự cố tương tự không phải là hiếm trong lĩnh vực DeFi. Vào năm 2024, tổn thất tiền điện tử toàn cầu do tin tặc và gian lận đã vượt quá 2,2 tỷ đô la, làm nổi bật nhu cầu cấp thiết phải cải thiện các tiêu chuẩn bảo mật của ngành.

Thứ hai, cách xử lý nhóm Resupply đã phơi bày những thiếu sót của các dự án DeFi trong quản lý khủng hoảng. Việc thiếu minh bạch, đàn áp bất đồng chính kiến và trốn tránh trách nhiệm không chỉ làm suy yếu lòng tin của các nhà đầu tư mà còn có thể gây ra đòn giáng mạnh vào sự phát triển lâu dài của dự án. Hành động bảo vệ quyền của Yishi nhắc nhở cộng đồng rằng các nhà đầu tư có quyền yêu cầu các bên tham gia dự án chịu trách nhiệm về lỗi kỹ thuật thay vì chuyển tổn thất cho người dùng.

Sự cố này cũng làm dấy lên cuộc thảo luận về trách nhiệm của các đối tác trong hệ sinh thái DeFi. Các dự án như Curve và Convex đã gây tranh cãi do hợp tác với Resupply, điều này cho thấy tính kết nối giữa các dự án DeFi vừa là lợi thế vừa là tác nhân gia tăng rủi ro. Trong tương lai, cách phân bổ rõ ràng trách nhiệm trong hợp tác sinh thái sẽ là một vấn đề quan trọng mà ngành DeFi cần giải quyết.

Liên kết gốc

Chào mừng bạn tham gia cộng đồng chính thức của BlockBeats:

Nhóm Telegram đăng ký: https://t.me/theblockbeats

Nhóm Telegram thảo luận: https://t.me/BlockBeats_App

Tài khoản Twitter chính thức: https://twitter.com/BlockBeatsAsia