Resupply事件如何撕裂DeFi社区信任最后一层遮羞布？

6 月 26 日，去中心化稳定币协议 旗下 wstUSR 市场被曝遭黑客攻击，约 950 万美元资产遭转移。

在加密世界，这类事件并不罕见，Resupply 的被盗金额甚至不算突出，但却引发社区争议。特别是项目方在事后的应对措施，并未对黑客资金进行追赃、追责、报警、悬赏，反而是先动用社区资产填坑。由此，社区怒火愈演愈烈舆论，OneKey 创始人 、慢雾创始人等一众加密人士纷纷站出来喊话项目方，甚至这场治理舆论已经升级至“种族歧视”。

Odaily 星球日报将从事件始末出发，梳理矛盾根源，厘清各方立场。

Resupply 是围绕 crvUSD 构建的去中心化稳定币协议，其底层高度依赖 Curve 生态的交易池结构、利率模型与资产挂钩逻辑。通过 crvUSD-wstUSR 等交易对吸引流动性，项目在短时间内积累起数千万美元的锁仓量。

外界普遍认为其与 Convex 存在开发资源协同，甚至传出由核心开发团队“暗中孵化”的传闻。

而这层关系，在事发之后成为争议的起点。

6 月 26 日，安全公司 BlockSec 首次发现 Resupply 出现异常资金流动，初步估算损失 950 万美元。

攻击路径随后被拆解：攻击者利用了 Resupply 在部署 wstUSR 金库时的一个结构性设计失误。具体而言，通过向 Controller 合约注入精心构造的参数，使得 exchangeRate 瞬间为零，抵押品检测失效，从而绕过所有清算与风控机制。

仅用 1 wei 抵押，攻击者就借出大量 reUSD，完成清洗后将资产转为 ETH，并通过 Tornado Cash 进行混币处理。事后统计，损失资产价值约 950 万美元。慢雾创始人余弦表示，这是一个“利率膨胀漏洞”。

Resupply 在 6 月 28 日发布的黑客攻击分析报告，其中指出：针对 Resupply 的 crvUSD-wstUSR 交易对的攻击造成了约 1000 万美元的 reUSD 坏账，但该漏洞仅存在于特定代币交易对中，其他代币交易对不受影响，Resupply 市场均照常运营。目前受影响代币交对的债务限额已设置为 0 并暂停了保险池提款，需要正式的治理投票才能取消暂停。存在问题的代码段已接受过多次安全审计，并有独立研究人员受聘审查代码库，但未有报告该问题，现阶段被盗资金仍在链上，正在监控相关情况并将采取必要措施。

漏洞本身不复杂，却打穿了协议最核心的安全边界。但真正的争议，从项目方的“补救措施”开始。

6 月 29 日，Resupply 协议官方团队在社区发起补救措施提案，宣称将以社区共识的方式“快速修复协议运行”。

提案具体内容如下：

阶段 1 ：立即采取治理行动

保险池（IP）token 销毁：在撰写提案时，Resupply 协议金库、Convex 金库和 C 2 tP 已经支付了 2, 868, 832 枚 reUSD 后，未偿坏账总额为 7, 131, 168 枚 reUSD。

该提案具体规定：

IP 提款期：

阶段 2 ：保险池保留计划

如果通过，该提案承诺 DAO 将在 52 周内向接收方分配总计 250 万。

以上提案核心，可以解读为：

提案表面上是一次迅速的“社区协同”，但社区普遍将其视作“未经协商的用户买单机制”。

保险池本是用于应对市场波动，而非项目部署漏洞；而提案中对黑客资金的追赃、追责、报警、悬赏，统统缺席。项目方的第一反应，是先动用社区资产填坑，而非查清漏洞责任。

治理，成了一场“转移责任”的工具。

攻击发生后，Resupply 的 Discord 群组迅速炸锅。之后在部分大额 LP 提出“保险池为何为技术失误买单”时，甚至被管理员踢出或禁言。

用户的不满集中在三个层面：

比如， 6 月 27 日，OneKey 创始人 首次公开发声，要求 Curve 为每一位投资者提供公平解决方案，归还因项目方严重技术失误而造成的用户资金损失。

他透露，自己为 Resupply 三大投资者之一，损失高达数百万美元。他认为攻击源于 ERC 4626 金库部署时未销毁初始份额的“结构性错误”，攻击者几乎可零成本无限铸造份额抽干金库。

他还直指项目方不但试图将损失转嫁至保险池用户，还在 Discord 群内封禁合理质疑者。他表示 Curve、Convex、Yearn 均曾在技术、治理或资源上支持过 Resupply，事后不应轻描淡写地“撇清关系”。

社区成员 发视频控诉 Resupply 团队种种失职行为，主要包括在由于合约内部低级错误导致的黑客事件发生后，采取绥靖政策，不暂停不报警不悬赏，在 Discord 踢人捂嘴，并声称应当由本用于抵御市场波动风险的保险池用户承担损失。

慢雾创始人补充表示：“项目方是已知史上第一个不喊话、不表态给赏金的。我如果是这个攻击者，我也会一脸懵。项目方怎么还不表态，我到底是当个黑帽黑客还是白帽？”

甚至这场治理舆论已经升级至“种族歧视”。6 月 28 日，OneKey 创始人 Yishi 发文称，其在与项目成员沟通中遭遇了明显的种族歧视词汇“chixx choxx”，这引发了极大的公众愤怒。该词被广泛认为是对华人群体的侮辱性表述，不少业内人士第一时间发起 Slash 行动声援 Yishi，强调“种族歧视在任何语境下都不容宽恕”。

Yishi 在 6 月 28 日的推文中称，Michael 表示要起诉他，指控他污蔑 Curve 的名声，并对此表达了不满，称“老实人活该被欺负”。

Michael 的支持者公开发文回应称，这已不再是“谁对谁错”的争论，而是一次对 Curve 品牌系统性信任的攻击。他列举了 Yishi 的五大“罪状”：

1. 恶意诽谤与事实捏造：

2. 商誉损害：

3. 有组织地操纵 KOC 传播错误信息：

4. 施压兜底意图明显：

5. 证据链完整：

29 日，OneKey 官方发布声明澄清，从未以任何形式唆使、组织或操控任何 KOL 或用户，对 Curve 或任何项目发起舆论攻击。针对当前社交平台上个别人散布的恶意指控与不实言论，OneKey 将依法追责，绝不姑息。此外，创始人 Yishi 先生完全以个人身份参与投资，属于其个人行为，OneKey 官方的任何资源都未参与该项目。同时，OneKey 所有产品均为开源设计、无后门，已通过 SlowMist 等专业安全团队充分审计。

30 日，OneKey 创始人 Yishi 发布被 Curve Finance 拉黑的截图并配文“毕业了”。

Resupply 事件，从一场黑客攻击开始，最终演变为围绕治理责任、社群沟通、种族歧视与品牌操守的全面危机。

这不是 DeFi 第一次遭遇攻击，也不会是最后一次。但它或许是第一次，在没有黑客回应、没有项目方道歉的背景下，社区被推上了“损失承担者”的位置。

在 DeFi 世界里，信任的基础不在白皮书里，也不在审计报告里，而在项目方“出事之后的第一反应”。治理提案或许能修复协议，但修复不了撕裂的社群。协议还在运行，但信任走了，就不会回来。