ハッカーを追跡せず、PRが制御不能：DeFiプロトコルResupplyの960万ドル盗難事件の経緯を振り返る

著者：Fairy，ChainCatcher

編集：TB，ChainCatcher**

事件後の最初の反応は、しばしばチームの真の姿を暴露します。

去中心化ステーブルコインプロトコルResupplyが960万ドルを盗まれた。この事件は一見「通常」のDeFiセキュリティ事故のように見えたが、数日以内に急速に悪化した：プロジェクト側は何も発言せず、報酬も提示せず、投資者OneKeyの創設者が公に権利を主張した。事件は技術的な問題から価値観の対立へと急速に変わり、背後にあるCurveエコシステムにも影響を及ぼした。

これは単なる盗難事件ではなく、技術的な失敗とガバナンスの傲慢さに挟まれ、全体に波及する連鎖的な崩壊に至った。

事件の振り返り：セキュリティ事故から広報の惨事へ

6月26日、Resupplyは攻撃を受け、約950万ドルの損失を被った。事故発生後、チームは簡単なツイートで状況を説明したが、ハッカーの追跡や報酬の提示は行わず、コミュニティの疑念を引き起こした。

同時に、ユーザーはDiscordで疑問を提起した後に禁止され、削除されるなど、コミュニティの雰囲気は急速に悪化した。OneKeyの創設者Yishiは公に発言し、自身がResupplyの三大投資者の一人であり、数百万ドルの損失を被ったことを明らかにし、プロジェクト側が不良債権を保険プールの預金者に強制的に分担させていること、つまり普通のステーキングユーザーに技術的な失敗の代償を負わせていると指摘した。

6月28日、Resupplyは攻撃分析報告を発表し、脆弱性は特定のトークン取引ペアにのみ影響を与え、他の市場は正常に運営されているとし、保険プールの600万枚のreUSDを使って不良債権をカバーするガバナンス提案を提出した。残りの部分は将来のプロトコル収益を通じて徐々に返済する計画だった。しかし、この行動は「怒り」を鎮めることはなかった。

6月29日、Yishiは再度発言し、チームが最初に責任を追及するのではなく、「直接ユーザーのポケットからお金を取る」ことを批判し、さらにはロック解除期間を延長し、引き出しを制限することまで行った。さらに深刻なのは、コミュニティには侮辱や人種差別的な発言が溢れていた。

その上、DeFi研究者@22333Dは複数のビデオを公開し、チームが初歩的な契約ミスを犯した後に全く責任を取らないことを痛烈に批判した。慢雾の創設者余弦も公に、これを史上最悪のセキュリティ事故処理のTOP 10観察区に入れることを提案した。

最終的に、このセキュリティ事故は「職務怠慢なガバナンス + 世論抑圧 + コミュニティの分裂」を含む多重危機に発展した。

Resupply背後のチームの「セキュリティブラックヒストリー」

今回の攻撃では、ハッカーがResupplyPair契約の価格操作の脆弱性を利用し、ERC4626のインフレ脆弱性と組み合わせて、1 weiの担保で約1000万ドルのreUSDを借り出した。しかし、この攻撃手法は複雑ではなく、暗号KOLの子時はこれを「最低レベルの一般的な」ミスと称し、チームのコア契約設計における重大な疎漏を示している。

さらに懸念されるのは、Resupplyの背後にいる開発チームが初めてセキュリティの波乱に巻き込まれたわけではないということだ。

2024年3月、Resupplyの前身であるPrisma Financeはハッカー攻撃により1160万ドル以上の損失を被った。攻撃者はホワイトハットを名乗り、何度もチェーン上でメッセージを残したが、事件は最終的に無事に終わらず、9ヶ月後にPrismaプロジェクトは正式に閉鎖され、Resupplyが「後継者」として立ち上がった。

さらに、コミュニティのユーザーによると、過去数年間、このチームが関与するプロジェクトは平均して毎年約1000万ドルの資金損失を出している。（注：ResupplyはConvex FinanceとYearnfiのsubDAOプロトコルである。）この異常な「事故頻度」により、コミュニティはその背後のチームが横領に関与しているのではないかと疑問を抱き始めた。

画像出典：@22333D

信頼の亀裂：Curveエコシステム

Resupplyの世論が高まるにつれ、Curveもこの信頼危機の渦に巻き込まれた。両者は同じチームではないが、関係は密接である。ResupplyプロトコルはCurveエコシステムの上に構築されており、その流動性プールとメカニズムのサポートに依存している。立ち上げ当初、Curveの公式はResupplyを宣伝していた。

そのため、多くのユーザーはCurveへの信頼に基づいてResupplyにステーキングし、保険プールに参加することを選んだ。結果として、Resupplyの成長は確かにCurveに還元された。

暗号KOLの暗号韋馱は、Curveは22年のLuna暴落後、TVLが崖のように急落し、Michaelの住宅購入、2度の自社ハッキング、stETHの脱矛、FTXの崩壊などの複数の事件を経て、継続的に下落していると述べた。

Resupplyは今年3月に発射された後、Curveに活力を注入したが、現在「延命盤」が論争に巻き込まれ、旧い問題が再浮上している。

コミュニティの世論の中で、一部のユーザーはCurveエコシステムプロジェクトをボイコットすると主張し、別の一部はCurveがエコシステムプロジェクトの技術的な失敗を補填すべきではないと考えている。しかし、より多くのユーザーはCurveチームと創設者Michaelの事後の反応に失望している：Resupplyとの関係を急いで明確にし、公の発言ではResupplyプロジェクト側を擁護する傾向がある。

さらに、MichaelはOneKeyの創設者Yishiが公に権利を主張した後、「今後OneKey製品を使用しない」と述べ、Yishiを「Curveの名誉を損なった」として訴える意向を示した。

Resupplyの信頼崩壊は、コードのミスに起因するだけでなく、プロジェクト側が危機の中で暴露した道徳的な底線を映し出す鏡のようなものであり、エコシステムの拡張における責任、透明性、そして担当の欠如を明らかにしている。

事故の余波は最終的に収束するだろうが、信頼の亀裂は永遠に修復できないかもしれない。