在去中心化世界,安全漏洞固然令人恐惧,但真正摧毁一个协议的,往往是面对危机时的沉默与傲慢。
2025年6月,去中心化稳定币协议 Resupply 遭遇黑客攻击,损失近960万美元。然而,这场本可归入“常规事故”的安全事件,最终演变成一场涉及治理、责任、舆论与生态关系的全面危机。从最初的黑客攻击,到团队公关失控,再到社区割裂与生态信任动摇,Resupply的溃败路径为整个DeFi行业敲响了警钟。
攻击发生与团队应对失序
2025年6月26日,Resupply协议在主网运行中遭遇攻击,黑客利用合约中的价格操纵和ERC4626通胀漏洞,仅用1 wei的抵押物就借出了价值约960万美元的reUSD稳定币。
这一攻击手法虽不算复杂,却造成了重大资金损失。然而,事件发生后的24小时内,Resupply团队并未采取任何主动公关措施,仅以一则简单推文说明事故,却没有发布赏金声明、黑客追踪计划,或公开的赔偿承诺。这种“失语式”反应很快引发用户质疑。
更严重的是,部分用户在官方Discord提出质疑后,竟遭到禁言甚至移除,引发社区哗然。项目投资人之一、OneKey创始人Yishi随即公开发声,披露其个人损失高达数百万美元,并指出Resupply团队试图将黑客攻击造成的坏账“转嫁”给保险池质押者,实质上让无辜用户为协议漏洞买单。
治理提案激化矛盾,维权舆情全面爆发
6月28日,Resupply官方终于发布攻击分析报告,承认漏洞导致特定交易对的资金被盗,同时提出用600万reUSD保险池资金“兜底”坏账,剩余部分由协议未来收益逐步偿还。
然而,这份治理提案不但未能平息怒火,反而加剧了社区不满。Yishi再次发声,猛烈抨击团队“第一时间不是追责,而是直接从用户兜里掏钱”,并控诉项目方试图延长质押资产解锁期、设置提现限制。
与此同时,社区社群中出现了大量辱骂、种族歧视等恶劣言论,加剧了分裂与愤怒。DeFi研究员@22333D发布多条视频,痛批团队犯下“低级合约错误后却毫无担当”;知名安全专家、慢雾科技创始人余弦也表态,建议将Resupply列入“史上最恶劣安全事故处置TOP10”观察名单。
黑历史曝光:团队安全信誉遭受重击
随着危机发酵,Resupply团队的“前科”也被一一揭开。
原来,Resupply的前身正是2024年3月被黑超1160万美元的Prisma Finance。尽管当时攻击者自称为白帽,并多次在链上沟通,但事件最终不了了之。此后,Prisma团队悄然转向新项目Resupply,将其包装为“生态继任者”。
更令人震惊的是,据社区整理统计,该开发团队近年来涉足的多个项目,几乎每年都有百万美元级别的安全事故发生。Resupply虽然作为Curve和YearnFi生态的subDAO项目,看似有可信背书,实则其技术管理与安全审查长期存在漏洞,引发部分社区成员怀疑其是否存在“内外勾结”甚至监守自盗的可能。
牵连扩散:Curve生态信任体系遭遇冲击
Resupply危机不仅止步于自身,更迅速波及其依附的Curve生态体系。
虽然Curve团队并非Resupply的直接开发方,但由于Resupply构建在Curve的流动性机制之上,早期上线时甚至获得Curve官方推荐,这种密切联系让许多用户误认为两者关系紧密,进而在投资决策中作出误判。
Curve长期支持Resupply的发展,并通过reUSD流动性池提升了自身生态TVL。然而,Resupply事故暴发后,Curve创始人Michael急于澄清双方关系,引发争议。尤其在Yishi公开维权后,Michael不仅公开表示“以后不会使用OneKey钱包”,还扬言要起诉Yishi“损害Curve名誉”,其强硬言辞被社区认为是“割席”式甩锅,引发更大反弹。
部分用户开始组织抵制Curve相关项目,一些曾深度参与Curve生态的KOL也开始质疑Curve团队在项目甄别与风险审查方面的失职。一时间,Resupply成为引爆Curve生态信任危机的导火索。
从代码问题到治理危机:一次DeFi集体失控样本
纵观Resupply被盗事件的发展轨迹,它已经远远超出了“合约漏洞”的技术层面,而是逐步演化为治理失衡、公关灾难、生态裂解的系统性危机。
具体表现在:
- 技术失误本可预防:攻击方式简单,漏洞早有案例,说明团队安全审查极度粗放;
- 治理机制缺位:事故应对无章、赔偿方案粗暴,治理提案不具透明与公正性;
- 舆论压制与社群失控:不回应、不对话、禁言用户、社群辱骂频发,彻底断裂社区信任;
- 生态关系模糊不清:Curve在事故中角色模糊,其“代际责任”引发道德与法律争议;
- 历史问题未解:Prisma事故未善后,直接“换壳”启动新协议,积怨爆发时毫无防线。
Resupply事故告诉我们,DeFi协议的信任基石不在于白皮书的技术叙述,而在于面对危机时的应对姿态和治理透明度。一旦失信,哪怕最简单的漏洞,也足以点燃一整片森林。
尾声:失控的Resupply是整个DeFi的警示
Resupply的信任崩塌,是一次“多米诺效应”式的链式反应。从资金被盗,到治理破裂,再到社区割裂与生态震荡,所有环节都体现出一个事实:技术可以被修复,资金也可能追回,但信任的裂痕却几乎不可逆。
在去中心化金融追求高效、透明、自治的过程中,Resupply的事故是一面照妖镜,照出了部分协议在利益诱惑面前的虚伪治理,也照出了当前DeFi行业在快速扩张背后,对责任、审计、安全与伦理的忽视。
信任不能仅靠代码铸就,更需以担当浇筑。在一个人人可以成为“协议守护者”的世界里,如何建立透明的危机响应机制,如何定义责任边界,如何在风险爆发时仍能守住道德底线,将成为DeFi下一个阶段的关键课题。