近期,DeFi领域安全事件频发。继Sui链某项目被黑客盗走2亿美元后,Curve生态的Resupply项目又因漏洞损失950万美元。相比2亿美元,950万美元看似“较小”,但落到具体的人头上,这是一场灾难。作为Resupply三大投资者之一,受害者代表Yi Shi表达了愤怒与诉求,揭示了DeFi脆弱性及项目方应对失当的深层问题。
事件背景与投资者立场
Resupply因背靠Curve、Convex和Yearn等知名团队,吸引了包括Yi Shi在内的投资者投入数百万美元。然而,项目因ERC4626通胀漏洞被黑客利用,损失惨重。更令人失望的是,团队未积极应对,而是将损失转嫁给保险池存款人,并在Discord压制异议。Yi Shi总结了以下核心诉求:
信任背书:投资者因Curve等团队的信誉投入巨资。若无这些背书,鲜有人会参与。如今团队疏远投资者的行为令人愤怒。
技术失误:损失源于团队部署新金库时未销毁初始份额,导致攻击者以近零成本铸造无限份额,耗尽资产。此为协议级疏忽,而非市场波动。
不当应对:团队未优先调查漏洞或保护用户资金,而是压制异议,嘲笑受害者,缺乏责任感。
保险池误用:保险池应覆盖黑天鹅事件或市场风险,而非开发错误。将用户资金作为错误后盾不可接受。
缺乏透明度:DeFi无先例表明保险池应承担协议错误损失。Resupply文档未明确说明,团队却扭曲事实。
责任归属:Curve和crvUSD从Resupply获益,漏洞是设计缺陷,责任在团队。
个体担当:c2个人出资150万美元展现品格,但负担不应由一人承担,Convex或Yearn应出资。
调解认可:尊重Michael为Curve的调解努力,但不支持掩饰问题。
公平诉求:团队应归还因错误导致的损失,采取正确行动。
Curve的回应
Curve对事件表示关注,强调多个独立生态项目增强了其去中心化与韧性。Resupply促进了crvUSD稳定币和LlamaLend借贷协议的采用。事件中,Curve池和借贷市场表现正常,crvUSD未偏离锚定。Curve计划优化整合方编写安全代码的流程,并相信Resupply团队会尽力解决问题,优先恢复保险池资金以降低影响。
攻击技术分析
ResupplyPair允许用户质押资产借贷,isSolvent修饰符(第282行)检查借贷资格,依赖_exchangeRate计算LTV。若_exchangeRate为0,检查恒成立。黑客通过操控预言机getPrices函数,使质押资产价格极大,导致_exchangeRate归零。getPrices调用金库的convertToAssets,其结果由total_assets决定,与controller合约的borrowed_token(crvUSD)相关。黑客利用空金库,向controller转入borrowed_token,推高total_assets,以极低成本借出1000万reUSD,造成950万美元损失。
结论
Resupply事件暴露了DeFi合约设计与初始化的脆弱性。团队的失误与不当应对加剧了投资者损失。Curve虽表态支持,但责任划分与资金恢复仍需明确。DeFi需加强合约审计与透明度,投资者也应更谨慎评估风险。Resupply团队应尽快修复漏洞,归还用户资金,重塑信任。
南宫点评:链上淘金收益丰厚,但依然危险重重。我们当年期望的全链上世界可能不会这么快到来。目前链上,脆弱的品牌,脆弱的代码,脆弱的团队,其实撑不起这么大的市值,撑不起这么大的资产管理规模。
