近期,DeFi領域安全事件頻發。繼Sui鏈某項目被黑客盜走2億美元后,Curve生態的Resupply項目又因漏洞損失950萬美元。相比2億美元,950萬美元看似“較小”,但落到具體的人頭上,這是一場災難。作爲Resupply三大投資者之一,受害者代表Yi Shi表達了憤怒與訴求,揭示了DeFi脆弱性及項目方應對失當的深層問題。
事件背景與投資者立場
Resupply因背靠Curve、Convex和Yearn等知名團隊,吸引了包括Yi Shi在內的投資者投入數百萬美元。然而,項目因ERC4626通脹漏洞被黑客利用,損失慘重。更令人失望的是,團隊未積極應對,而是將損失轉嫁給保險池存款人,並在Discord壓制異議。Yi Shi總結了以下核心訴求:
信任背書:投資者因Curve等團隊的信譽投入巨資。若無這些背書,鮮有人會參與。如今團隊疏遠投資者的行爲令人憤怒。
技術失誤:損失源於團隊部署新金庫時未銷燬初始份額,導致攻擊者以近零成本鑄造無限份額,耗盡資產。此爲協議級疏忽,而非市場波動。
不當應對:團隊未優先調查漏洞或保護用戶資金,而是壓制異議,嘲笑受害者,缺乏責任感。
保險池誤用:保險池應覆蓋黑天鵝事件或市場風險,而非開發錯誤。將用戶資金作爲錯誤後盾不可接受。
缺乏透明度:DeFi無先例表明保險池應承擔協議錯誤損失。Resupply文檔未明確說明,團隊卻扭曲事實。
責任歸屬:Curve和crvUSD從Resupply獲益,漏洞是設計缺陷,責任在團隊。
個體擔當:c2個人出資150萬美元展現品格,但負擔不應由一人承擔,Convex或Yearn應出資。
調解認可:尊重Michael爲Curve的調解努力,但不支持掩飾問題。
公平訴求:團隊應歸還因錯誤導致的損失,採取正確行動。
Curve的迴應
Curve對事件表示關注,強調多個獨立生態項目增強了其去中心化與韌性。Resupply促進了crvUSD穩定幣和LlamaLend借貸協議的採用。事件中,Curve池和借貸市場表現正常,crvUSD未偏離錨定。Curve計劃優化整合方編寫安全代碼的流程,並相信Resupply團隊會盡力解決問題,優先恢復保險池資金以降低影響。
攻擊技術分析
ResupplyPair允許用戶質押資產借貸,isSolvent修飾符(第282行)檢查借貸資格,依賴_exchangeRate計算LTV。若_exchangeRate爲0,檢查恆成立。黑客通過操控預言機getPrices函數,使質押資產價格極大,導致_exchangeRate歸零。getPrices調用金庫的convertToAssets,其結果由total_assets決定,與controller合約的borrowed_token(crvUSD)相關。黑客利用空金庫,向controller轉入borrowed_token,推高total_assets,以極低成本借出1000萬reUSD,造成950萬美元損失。
結論
Resupply事件暴露了DeFi合約設計與初始化的脆弱性。團隊的失誤與不當應對加劇了投資者損失。Curve雖表態支持,但責任劃分與資金恢復仍需明確。DeFi需加強合約審計與透明度,投資者也應更謹慎評估風險。Resupply團隊應儘快修復漏洞,歸還用戶資金,重塑信任。
南宮點評:鏈上淘金收益豐厚,但依然危險重重。我們當年期望的全鏈上世界可能不會這麼快到來。目前鏈上,脆弱的品牌,脆弱的代碼,脆弱的團隊,其實撐不起這麼大的市值,撐不起這麼大的資產管理規模。
