近年來，DeFi 領域的快速發展吸引了無數投資者和開發者，但其高風險和高回報並存的特性也頻頻引發不小問題，比如頻頻上上演的黑客攻擊盜利事件就不少財者與盜領資金。 6 月 27 日，DeFi 協議 Resupply 因重大安全漏洞導致 960 萬美元的資金被盜，這一事件因 OneKey 創始人王一石（Yishi Wang）發起的維權行動而被社區廣為人知。

Yishi 作為 Resupply 的主要投資人之一，公開批評專案方的失誤並呼籲相關方承擔責任，其行動在社區內引發了廣泛討論，甚至與 Curve 創始人 Michael Egorov 的激烈交鋒。

合約漏洞致用戶資金被洗劫一空

Resupply 新興的 DeFi 協議，旨在透過創新的流動性管理和收益策略吸引用戶和投資者。 DeFi 協議通常透過智慧合約實現資金池的自動化管理，讓用戶存入加密資產以獲取收益。然而，這類協定的複雜性和程式碼漏洞常常成為駭客攻擊的目標。 Resupply 自推出以來，憑藉其高收益承諾和與 Curve、Convex、Yearn 等知名 DeFi 項目的合作，迅速吸引了大量資金和關注，被盜事件發生前管理著數億美元的資產。

加密錢包公司 OneKey 的創辦人王一石，是 Resupply 的前三大投資人之一。根據其 X 上的公開聲明，他個人向 Resupply 投資了數百萬美元，這次攻擊事件不僅造成了重大經濟損失，也帶來了巨大的心理壓力。

根據 Yishi 的分析，事件的根本原因是 Resupply 團隊在部署新資金池（vault）時未能銷毀初始份額，導致智能合約中的 ERC-4626 標準出現「通膨型鑄幣漏洞」。這個漏洞允許攻擊者以零成本鑄造無限量的代幣，進而將資金池中的資產洗劫一空。

Yishi 評論道：「這不是黑天鵝事件，是人禍，是開發層級的嚴重疏忽。」他指出，這一漏洞並非外部駭客利用複雜技術手段，而是團隊在基礎程式碼部署上的低階錯誤。這種失誤在 DeFi 領域尤其致命，因為智能合約的不可篡改性意味著一旦漏洞被利用，損失幾乎無法挽回。

沉默、禁言並嘗試讓投資者承擔損失

區塊鏈駭客攻擊事件時時刻刻都在不斷上演，過去數年有多個公鏈、DeFi、交易所都上演過被駭客攻擊的驚魂時刻。我們會發現，其官方團隊往往會及時表態，並第一時間向駭客喊話，然而 Resupply 團隊的處理方式則令人匪夷所思。不僅沉默應對駭客攻擊者，甚至「直至目前仍未做技術溯源 / 白帽賞金有關工作」。

Yishi 透露，團隊並未第一時間展開調查或報警，而是試圖透過保險池讓投資者承擔損失，同時在官方 Discord 伺服器中封鎖質疑者的發言。身為主要投資人的 Yishi 在提出合理質疑後，竟被團隊無預警禁言，這項行為令他感到「震驚且憤怒」。

原文連結