撰文：1912212.eth，Foresight News

近年来，DeFi 领域的快速发展吸引了无数投资者和开发者，但其高风险和高回报并存的特性也频频引发不小问题，比如频频上演的黑客攻击盗取资金事件就困扰不少链上理财与套利者。6 月 27 日，DeFi 协议 Resupply 因重大安全漏洞导致 960 万美元的资金被盗，这一事件因 OneKey 创始人王一石（Yishi Wang）发起的维权行动而被社区广为人知。

Yishi 作为 Resupply 的主要投资人之一，公开批评项目方的失误并呼吁相关方承担责任，其行动在社区内引发了广泛讨论，甚至与 Curve 创始人 Michael Egorov 的激烈交锋。

合约漏洞致用户资金被洗劫一空

Resupply 新兴的 DeFi 协议，旨在通过创新的流动性管理和收益策略吸引用户和投资者。DeFi 协议通常通过智能合约实现资金池的自动化管理，允许用户存入加密资产以获取收益。然而，这类协议的复杂性和代码漏洞常常成为黑客攻击的目标。Resupply 自推出以来，凭借其高收益承诺和与 Curve、Convex、Yearn 等知名 DeFi 项目的合作，迅速吸引了大量资金和关注，被盗事件发生前管理着数亿美元的资产。

加密钱包公司 OneKey 的创始人王一石，是 Resupply 的前三大投资人之一。据其 X 上的公开声明，他个人向 Resupply 投资了数百万美元，本次攻击事件不仅造成了重大经济损失，也带来了巨大的心理压力。

根据 Yishi 的分析，事件的根本原因是 Resupply 团队在部署新资金池（vault）时未能销毁初始份额，导致智能合约中的 ERC-4626 标准出现“通胀型铸币漏洞”。这一漏洞允许攻击者以零成本铸造无限量的代币，进而将资金池中的资产洗劫一空。

Yishi 评论道：“这不是黑天鹅事件，是人祸，是开发层级的严重疏忽。”他指出，这一漏洞并非外部黑客利用复杂技术手段，而是团队在基础代码部署上的低级错误。这种失误在 DeFi 领域尤为致命，因为智能合约的不可篡改性意味着一旦漏洞被利用，损失几乎无法挽回。

沉默、禁言并尝试让投资者承担损失

区块链黑客攻击事件时时刻刻都在不断上演，过去数年有多个公链、DeFi、交易所都上演过被黑客攻击的惊魂时刻。我们会发现，其官方团队往往会及时表态，并第一时间向黑客喊话，然而 Resupply 团队的处理方式则令人匪夷所思。不仅沉默应对黑客攻击者，甚至「直至目前仍未做技术溯源 / 白帽赏金有关工作」。

Yishi 透露，团队并未第一时间展开调查或报警，而是试图通过保险池让投资者承担损失，同时在官方 Discord 服务器中封锁质疑者的发言。身为主要投资人的 Yishi 在提出合理质疑后，竟被团队无预警禁言，这一行为令他感到“震惊且愤怒”。#p#分页标题#e#

最新提案显示，项目方将通过保险池来承担坏账

面对 Resupply 团队的不作为和压制异议的态度，Yishi 选择在 X 平台上公开维权。他发表长文，详细披露了事件的前因后果，并点名批评 Resupply 团队的失责行为。他强调保险池的设计是为了应对不可预测的黑天鹅事件，而非弥补开发团队的低级错误。他质问道：“如果开发失误都可以由用户买单，那这根本是劫富济穷的假保险。”

Yishi 的维权行动不仅针对 Resupply 团队，还延伸至与该项目合作的知名 DeFi 协议，如 Curve、Convex 和 Yearn。他指出，这些项目通过为 Resupply 提供流动性支持和背书，获得了曝光和收益，因此在事件发生后不应置身事外。特别是 Curve，其稳定币 crvUSD 在 Resupply 的资金池中扮演了重要角色。Yishi 呼吁这些项目的开发者和财库共同承担赔偿责任，以弥补投资者的损失。

据公开信息显示，近年其相关协议项目方平均每年被盗 1000 万美元，也引发社区对其监守自盗的怀疑。

• 2021 年 Yearn Finance 约 1100 万美元 由于合约业务逻辑漏洞，攻击者利用协议未充分防护的资金流动性，进行闪电贷攻击，操控资金池实现套利。

• 2023 年 3 月 Yearn Finance 约 140 万美元 受 Euler Finance 被黑影响，Yearn Finance 与其存在资金关联，导致间接受损，本身合约无漏洞。

• 2023 年 4 月 13 日 Yearn Finan