Xem lại vụ trộm 9,6 triệu đô la của giao thức DeFi Resupply

Tác giả: Fairy, ChainCatcher

Biên tập viên: TB,ChainCatcher

Phản ứng đầu tiên sau sự cố thường tiết lộ bản chất thực sự của một đội.

Giao thức stablecoin phi tập trung Resupply đã bị đánh cắp với giá 9,6 triệu đô la. Sự cố bảo mật DeFi có vẻ "thường lệ" này đã xấu đi nghiêm trọng chỉ sau vài ngày: bên tham gia dự án không hét lên, bày tỏ hoặc đưa ra phần thưởng và người sáng lập của nhà đầu tư OneKey đã công khai bảo vệ quyền của mình. Sự cố nhanh chóng chuyển từ một vấn đề kỹ thuật thành xung đột về giá trị và ảnh hưởng đến hệ sinh thái Curve đằng sau nó.

Đây không còn là một vụ trộm đơn thuần nữa, mà là một sự sụp đổ dây chuyền mất kiểm soát và liên lụy đến mọi thứ dưới áp lực của lỗi kỹ thuật và sự ngạo mạn của ban quản trị.

Đánh giá sự kiện: Từ tai nạn an ninh đến thảm họa quan hệ công chúng

Vào ngày 26 tháng 6, Resupply đã bị tấn công và mất khoảng 9,5 triệu đô la. Sau sự cố, nhóm chỉ đăng một dòng tweet ngắn để giải thích tình hình, nhưng không truy tìm được tin tặc hoặc đưa ra tiền thưởng, điều này đã làm dấy lên sự nghi ngờ của cộng đồng.

Cùng lúc đó, người dùng báo cáo rằng họ đã bị cấm và xóa sau khi nêu câu hỏi trên Discord, và bầu không khí cộng đồng xấu đi nhanh chóng. Yishi, nhà sáng lập OneKey, đã lên tiếng công khai, tiết lộ rằng ông, với tư cách là một trong ba nhà đầu tư lớn nhất vào Resupply, đã mất hàng triệu đô la và chỉ ra rằng dự án này đang phân bổ cưỡng bức các khoản nợ xấu cho những người gửi tiền trong nhóm bảo hiểm, tức là để những người dùng thế chấp thông thường phải trả tiền cho các lỗi kỹ thuật.

Vào ngày 28 tháng 6, Resupply đã công bố một báo cáo phân tích tấn công, cho biết lỗ hổng bảo mật chỉ ảnh hưởng đến các cặp giao dịch mã thông báo cụ thể và phần còn lại của thị trường vẫn hoạt động bình thường. Công ty cũng đề xuất một đề xuất quản trị để sử dụng 6 triệu reUSD từ nhóm bảo hiểm để trang trải các khoản nợ xấu và phần còn lại được lên kế hoạch sẽ được hoàn trả dần thông qua thu nhập giao thức trong tương lai. Tuy nhiên, động thái này không dập tắt được "cơn giận".

Vào ngày 29 tháng 6, Yishi lại lên tiếng, chỉ trích nhóm vì không theo đuổi trách nhiệm giải trình ngay từ đầu mà "lấy tiền trực tiếp từ túi người dùng", thậm chí còn kéo dài thời gian mở khóa và hạn chế việc rút tiền. Nghiêm trọng hơn là cộng đồng này đầy rẫy những lời lăng mạ, phân biệt chủng tộc và nhiều bình luận khác.

Ngoài ra, nhà nghiên cứu DeFi @22333D đã phát hành nhiều video, chỉ trích nhóm vì sự vô trách nhiệm của họ sau khi xảy ra lỗi hợp đồng cấp thấp. Nhà sáng lập SlowMist Yu Xian cũng tuyên bố công khai rằng nên đưa nó vào TOP 10 khu vực quan sát của danh sách xử lý tai nạn an toàn tồi tệ nhất trong lịch sử.

Cuối cùng, tai nạn an toàn này đã phát triển thành một cuộc khủng hoảng kép bao gồm "sự lơ là của quản lý + đàn áp dư luận + chia rẽ cộng đồng".

"Lịch sử đen tối về an ninh" của nhóm đằng sau Resupply

Trong cuộc tấn công này, tin tặc đã lợi dụng lỗ hổng thao túng giá trong hợp đồng ResupplyPair, kết hợp với lỗ hổng lạm phát ERC4626 và cho vay khoảng 10 triệu đô la reUSD thông qua 1 wei tài sản thế chấp. Tuy nhiên, phương pháp tấn công này không phức tạp. Crypto KOL Zishi thậm chí còn gọi đây là lỗi "thấp nhất chung", cho thấy sự tắc trách nghiêm trọng của nhóm trong việc thiết kế hợp đồng cốt lõi.

Điều đáng lo ngại hơn là đây không phải là lần đầu tiên nhóm phát triển đằng sau Resupply bị cuốn vào một cuộc khủng hoảng bảo mật.

Ngay từ tháng 3 năm 2024, Prisma Finance, tiền thân của Resupply, đã mất hơn 11,6 triệu đô la do các cuộc tấn công của tin tặc. Mặc dù kẻ tấn công tự nhận là mũ trắng và để lại tin nhắn trên chuỗi nhiều lần. Nhưng sự cố đã kết thúc trong vô vọng. Phải đến 9 tháng sau, dự án Prisma mới chính thức đóng cửa và Resupply được ra mắt với tư cách là "người kế nhiệm".

Ngoài ra, theo người dùng cộng đồng, trong vài năm qua, các dự án liên quan đến nhóm đã phải chịu tổn thất vốn trung bình gần 10 triệu đô la Mỹ mỗi năm. (Lưu ý: Resupply là giao thức subDAO của Convex Finance và Yearnfi.) "Tần suất tai nạn" bất thường này đã khiến cộng đồng bắt đầu đặt câu hỏi liệu nhóm đứng sau nó có bị tình nghi tham ô hay không.

Nguồn ảnh: @22333D

Những vết nứt niềm tin lan rộng: Hệ sinh thái đường cong

Khi dư luận về Resupply lên cao, Curve cũng bị cuốn vào vòng xoáy của cuộc khủng hoảng niềm tin này. Mặc dù cả hai không cùng một nhóm, nhưng họ lại có mối quan hệ chặt chẽ. Giao thức Resupply được xây dựng trên hệ sinh thái Curve và dựa vào nhóm thanh khoản và hỗ trợ cơ chế của nó. Trong những ngày đầu ra mắt, các quan chức của Curve cũng đã xác nhận Resupply.

Vì lý do này, nhiều người dùng chọn đặt cược vào Resupply và tham gia vào nhóm bảo hiểm dựa trên sự tin tưởng của họ vào Curve. Từ kết quả, sự tăng trưởng của Resupply thực sự đã phản hồi lại Curve.

Crypto KOL Crypto Wei cho biết sau vụ sụp đổ của Luna trong 22 năm, TVL của Curve đã giảm mạnh và tiếp tục giảm sau nhiều sự kiện bao gồm Michael mua nhà, bị hack hai lần, stETH hủy niêm yết và FTX sụp đổ.

Sau khi Resupply ra mắt vào tháng 3 năm nay, nó đã truyền sức sống cho Curve, nhưng giờ đây khi "tấm kéo dài tuổi thọ" này đang vướng vào tranh cãi, nó cũng đã khơi lại những câu chuyện cũ.

Trong dư luận cộng đồng, một số người dùng bắt đầu tuyên bố rằng họ sẽ tẩy chay dự án sinh thái Curve; những người khác tin rằng Curve không nên chịu trách nhiệm về các lỗi kỹ thuật của các dự án sinh thái. Nhưng nhiều người dùng hơn đã thất vọng với phản ứng sau đó của nhóm Curve và người sáng lập Michael: họ háo hức làm rõ mối quan hệ của mình với Resupply và có xu hướng bảo vệ dự án Resupply trong các bài phát biểu trước công chúng nhiều hơn.

Ngoài ra, sau khi nhà sáng lập OneKey Yishi công khai bảo vệ quyền lợi của mình, Michael không chỉ tuyên bố rằng "anh ấy sẽ không sử dụng sản phẩm OneKey trong tương lai nữa" mà còn tuyên bố sẽ kiện Yishi vì "làm tổn hại đến danh tiếng của Curve".

Sự sụp đổ niềm tin vào Resupply không chỉ do lỗi mã, mà còn giống như một tấm gương, phản ánh ranh giới đạo đức của bên dự án bị phơi bày trong cuộc khủng hoảng, đồng thời cũng cho thấy sự thiếu trách nhiệm, minh bạch và trách nhiệm trong việc mở rộng hệ sinh thái.

Hậu quả của vụ tai nạn cuối cùng sẽ lắng xuống, nhưng rạn nứt niềm tin có thể không bao giờ được hàn gắn.