Yishi 開撕 Resupply: Це не Подія Чорного лебедя, це людська катастрофа, це серйозне недбальство на рівні розробки.
Написано 1912212.eth, Foresight News
Останніми роками швидкий розвиток сфери DeFi приваблює безліч інвесторів і розробників, але його високий ризик і висока прибутковість також часто викликають чимало проблем, наприклад, часті випадки хакерських атак на крадіжку коштів турбують багатьох учасників фінансових операцій та арбітражу в мережі. 27 червня протокол DeFi Resupply став жертвою суттєвої вразливості безпеки, внаслідок чого було вкрадено 9,6 мільйона доларів; ця подія стала відомою в спільноті завдяки акціям захисту прав, ініційованим засновником OneKey Ван Іши (Yishi Wang).
Yishi, як один з основних інвесторів Resupply, публічно критикував помилки команди проекту та закликав відповідні сторони взяти на себе відповідальність. Його дії викликали широкі обговорення в спільноті, навіть призвели до запеклої суперечки з засновником Curve Майклом Егоровим.
Вразливість контракту призвела до повного пограбування коштів користувачів
Resupply — новий DeFi протокол, який має на меті залучити користувачів та інвесторів завдяки інноваційному управлінню ліквідністю та стратегіям доходу. DeFi протоколи зазвичай реалізують автоматизоване управління пулом коштів через смарт-контракти, що дозволяє користувачам вносити криптоактиви для отримання доходу. Проте, складність таких протоколів та вразливості в коді часто стають метою атак хакерів. Resupply з моменту свого запуску швидко привернув значну увагу та кошти завдяки своїм обіцянкам високих доходів та співпраці з відомими DeFi проектами, такими як Curve, Convex, Yearn, керуючи активами на кілька сотень мільйонів доларів до випадків крадіжки.
Засновник компанії криптогаманців OneKey Ван Іші є одним із трьох найбільших інвесторів Resupply. Згідно з його публічною заявою на X, він інвестував кілька мільйонів доларів у Resupply, і цей інцидент атакування призвів не лише до значних економічних втрат, але й до величезного психологічного тиску.
Згідно з аналізом Yishi, корінною причиною події є те, що команда Resupply не змогла знищити початкові частки під час розгортання нового фонду (vault), що призвело до появи "інфляційної вразливості" стандарту ERC-4626 в смарт-контракті. Ця вразливість дозволяє зловмисникам безкоштовно карбувати необмежену кількість токенів, що, в свою чергу, дозволяє їм вивести активи з фонду.
Yishi прокоментував: "Це не Подія Чорного лебедя, це людська катастрофа, це серйозна недбалість на рівні розробки." Він зазначив, що ця уразливість не була використана зовнішніми хакерами за допомогою складних технологій, а є наслідком грубої помилки команди в базовому коді. Така помилка є особливо фатальною в сфері DeFi, оскільки незмінність смарт-контрактів означає, що як тільки уразливість буде використана, втрати майже неможливо компенсувати.
Мовчання, заборона на висловлення думки та спроби змусити інвесторів нести втрати
Події хакерських атак у блокчейні відбуваються постійно. За останні кілька років кілька публічних блокчейнів, DeFi та бірж пережили жахливі моменти, коли їх атакували хакери. Ми можемо помітити, що їх офіційні команди зазвичай швидко реагують і першими звертаються до хакерів, однак спосіб реагування команди Resupply викликає подив. Вони не лише мовчки реагують на хакерів, але навіть «досі не зробили технічного розслідування / роботи, пов'язаної з винагородами для білих капелюхів».
!
Yishi повідомив, що команда не стала одразу проводити розслідування чи повідомляти про це поліцію, а натомість спробувала через страховий пул покласти збитки на інвесторів, одночасно блокуючи висловлювання скептиків на офіційному Discord-сервері. Як основний інвестор, Yishi, після висловлення обґрунтованих сумнівів, раптом був без попередження заблокований командою, що викликало у нього "шок та гнів".
!
Остання пропозиція показує, що проектна команда буде покривати збитки через страховий пул
Стикаючись з бездіяльністю команди Resupply та їхнім ставленням до придушення незгоди, Yishi вирішив публічно захищати свої права на платформі X. Він опублікував довгий текст, в якому детально виклав передумови та наслідки події, а також прямо розкритикував безвідповідальність команди Resupply. Він підкреслив, що дизайн страхового пулу створений для реагування на непередбачувані Події Чорного лебедя, а не для компенсації низькорівневих помилок команди розробників. Він запитав: "Якщо помилки розробників можуть оплачувати користувачі, то це просто фіктивне страхування, яке забирає в багатих і віддає бідним."
Дії Yishi щодо захисту прав не лише спрямовані на команду Resupply, але й розширюються на відомі DeFi-протоколи, які співпрацюють з цим проєктом, такі як Curve, Convex та Yearn. Він зазначив, що ці проєкти отримали曝光 і прибуток, надаючи Resupply підтримку ліквідності та рекомендації, тому після події вони не повинні залишатися осторонь. Особливо Curve, чий стейблкойн crvUSD відігравав важливу роль у ліквідному пулі Resupply. Yishi закликав розробників та казначейства цих проєктів розділити відповідальність за компенсацію, щоб відшкодувати втрати інвесторів.
Згідно з публічною інформацією, в останні роки середніми щорічними втратами від крадіжок проектів, пов'язаних з їхніми протоколами, становили 10 мільйонів доларів, що також викликало підозри в самокрадіжці з боку спільноти.
У 2021 році Yearn Finance близько 11 мільйонів доларів США через вразливість у бізнес-логіці контракту, зловмисники використали недостатньо захищену ліквідність протоколу для здійснення атаки за допомогою блискавичних кредитів, маніпулюючи пулом коштів для реалізації арбітражу.
У березні 2023 року Yearn Finance зазнала збитків приблизно в 1,4 мільйона доларів через вплив хакерської атаки на Euler Finance, з яким Yearn Finance мала фінансові зв'язки, що призвело до непрямих збитків, але сам контракт не мав вразливостей.
13 квітня 2023 року Yearn Finance приблизно 11,6 мільйона доларів США через помилку конфігурації раннього iearn yUSDT контракту, контракт вказував на неправильний пул активів (USDC, а не USDT), зловмисники скористалися цим вразливим місцем конфігурації, шляхом карбування величезної кількості yUSDT, що призвело до виведення 2 6.
28 березня 2024 року у Prisma Finance виявлено вразливості в управлінні правами доступу та бізнес-логіці контракту на приблизно 10 мільйонів доларів США, зловмисники розгорнули шкідливий контракт і через кілька операцій вкрали кошти, методи включали проблеми з правами функцій та дефекти виклику контракту 1 5 6.
26 червня 2025 року у Convex Finance (Resupply під-DAO) приблизно 10 мільйонів доларів США контракту Resupply під-DAO існує бізнес-логічна вразливість, яку зловмисник використав для незаконного переказу коштів, зокрема через недостатню перевірку прав контракту або обігу коштів.
Крім того, Іші також критикував комунікацію команди Resupply. Він зазначив, що команда не лише бракує прозорості, але й навіть насміхається та блокує інвесторів, які висловлюють незгоду, що є серйозною зрадою довіри спільноти. Він закликав Resupply розробити справедливе рішення, щоб повернути користувачам збитки, завдані через технічні помилки.
Незабаром Yishi зазнала атак через приватні повідомлення від анонімних осіб, які публікували дискримінаційні насмішливі слова ching chong, що викликало загальне обурення у китайськомовній спільноті.
!
Загострення конфлікту: Стикання з засновником Curve
Публічний захист Yishi швидко призвів до прямого конфлікту з засновником Curve Майклом Егоровим. Раніше Curve Finance опублікував заяву з приводу цього інциденту безпеки: «Хоча Resupply не був розроблений розробниками Curve, творці Resupply мають чудові здібності та досвід, і ми віримо, що вони зроблять все можливе, щоб вирішити цю проблему.»
Проте подія не закінчилася на цьому.
Згідно з інформацією Yishi, Майкл приватно заявляв, що хоче подати на нього в суд, причиною чого є те, що його заяви "підривали репутацію Curve". Ця новина викликала激烈争论 у спільноті на платформі X, багато хто вважає, що Curve, будучи партнером Resupply, повинна нести частину відповідальності, а не придушувати критику через юридичні загрози.
Yishi на X відповів: "Michael сказав, що збирається подати на мене в суд за наклеп на репутацію Curve. Що це за поведінка? Чесні люди, мабуть, повинні терпіти знущання, так?" Він зазначив, що, незважаючи на повагу до зусиль Michael щодо врегулювання ситуації, він не відмовиться від вимоги відповідальності.
З початком подій деякі користувачі почали пов'язувати особисті дії захисту прав Yishi з брендом OneKey, навіть звинувачуючи OneKey в "організації інформаційних атак" на Resupply. У відповідь на ці звинувачення OneKey 29 червня на платформі X опублікував офіційну заяву, в якій прояснив, що компанія ніколи не брала участі та не контролювала жодних інформаційних атак, а дії Yishi щодо захисту прав є її особистими інвестиційними діями і не мають нічого спільного з бізнесом OneKey.
Підсумок
Подія Resupply не лише є відображенням індивідуальної боротьби Yishi за права, але й відображає численні проблеми, які виникають у швидко розвиваючійся індустрії DeFi. По-перше, безпека смарт-контрактів залишається основним викликом для проектів DeFi. Хоча вразливість Resupply здається незначною, подібні події не є рідкістю в сфері DeFi. У 2024 році глобальні втрати криптовалюти через хакерські атаки та шахрайство перевищили 2,2 мільярда доларів, що підкреслює необхідність підвищення стандартів безпеки в цій індустрії.
По-друге, спосіб обробки команди Resupply виявив недоліки проектів DeFi в управлінні кризами. Відсутність прозорості, придушення dissentу, ухилення від відповідальності та інші дії не тільки шкодять довірі інвесторів, але й можуть завдати руйнівного удару довгостроковому розвитку проекту. Дії Yishi щодо захисту прав нагадують спільноті, що інвестори мають право вимагати від проекту відповідальності за технічні помилки, а не перекладати збитки на користувачів.
Подія ще викликала обговорення відповідальності партнерів у екосистемі DeFi. Проекти, такі як Curve, Convex, були залучені в суперечку через співпрацю з Resupply, що свідчить про те, що взаємозв'язок проектів DeFi є як їх перевагою, так і може стати підсилювачем ризиків. У майбутньому, як чітко визначити розподіл відповідальності в екосистемній співпраці, стане важливим питанням, яке потрібно вирішити індустрії DeFi.
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Resupply через вразливість втратив 9,6 мільйона доларів, чи справді це має оплачувати користувач?
Написано 1912212.eth, Foresight News
Останніми роками швидкий розвиток сфери DeFi приваблює безліч інвесторів і розробників, але його високий ризик і висока прибутковість також часто викликають чимало проблем, наприклад, часті випадки хакерських атак на крадіжку коштів турбують багатьох учасників фінансових операцій та арбітражу в мережі. 27 червня протокол DeFi Resupply став жертвою суттєвої вразливості безпеки, внаслідок чого було вкрадено 9,6 мільйона доларів; ця подія стала відомою в спільноті завдяки акціям захисту прав, ініційованим засновником OneKey Ван Іши (Yishi Wang).
Yishi, як один з основних інвесторів Resupply, публічно критикував помилки команди проекту та закликав відповідні сторони взяти на себе відповідальність. Його дії викликали широкі обговорення в спільноті, навіть призвели до запеклої суперечки з засновником Curve Майклом Егоровим.
Вразливість контракту призвела до повного пограбування коштів користувачів
Resupply — новий DeFi протокол, який має на меті залучити користувачів та інвесторів завдяки інноваційному управлінню ліквідністю та стратегіям доходу. DeFi протоколи зазвичай реалізують автоматизоване управління пулом коштів через смарт-контракти, що дозволяє користувачам вносити криптоактиви для отримання доходу. Проте, складність таких протоколів та вразливості в коді часто стають метою атак хакерів. Resupply з моменту свого запуску швидко привернув значну увагу та кошти завдяки своїм обіцянкам високих доходів та співпраці з відомими DeFi проектами, такими як Curve, Convex, Yearn, керуючи активами на кілька сотень мільйонів доларів до випадків крадіжки.
Засновник компанії криптогаманців OneKey Ван Іші є одним із трьох найбільших інвесторів Resupply. Згідно з його публічною заявою на X, він інвестував кілька мільйонів доларів у Resupply, і цей інцидент атакування призвів не лише до значних економічних втрат, але й до величезного психологічного тиску.
Згідно з аналізом Yishi, корінною причиною події є те, що команда Resupply не змогла знищити початкові частки під час розгортання нового фонду (vault), що призвело до появи "інфляційної вразливості" стандарту ERC-4626 в смарт-контракті. Ця вразливість дозволяє зловмисникам безкоштовно карбувати необмежену кількість токенів, що, в свою чергу, дозволяє їм вивести активи з фонду.
Yishi прокоментував: "Це не Подія Чорного лебедя, це людська катастрофа, це серйозна недбалість на рівні розробки." Він зазначив, що ця уразливість не була використана зовнішніми хакерами за допомогою складних технологій, а є наслідком грубої помилки команди в базовому коді. Така помилка є особливо фатальною в сфері DeFi, оскільки незмінність смарт-контрактів означає, що як тільки уразливість буде використана, втрати майже неможливо компенсувати.
Мовчання, заборона на висловлення думки та спроби змусити інвесторів нести втрати
Події хакерських атак у блокчейні відбуваються постійно. За останні кілька років кілька публічних блокчейнів, DeFi та бірж пережили жахливі моменти, коли їх атакували хакери. Ми можемо помітити, що їх офіційні команди зазвичай швидко реагують і першими звертаються до хакерів, однак спосіб реагування команди Resupply викликає подив. Вони не лише мовчки реагують на хакерів, але навіть «досі не зробили технічного розслідування / роботи, пов'язаної з винагородами для білих капелюхів».
!
Yishi повідомив, що команда не стала одразу проводити розслідування чи повідомляти про це поліцію, а натомість спробувала через страховий пул покласти збитки на інвесторів, одночасно блокуючи висловлювання скептиків на офіційному Discord-сервері. Як основний інвестор, Yishi, після висловлення обґрунтованих сумнівів, раптом був без попередження заблокований командою, що викликало у нього "шок та гнів".
!
Остання пропозиція показує, що проектна команда буде покривати збитки через страховий пул
Стикаючись з бездіяльністю команди Resupply та їхнім ставленням до придушення незгоди, Yishi вирішив публічно захищати свої права на платформі X. Він опублікував довгий текст, в якому детально виклав передумови та наслідки події, а також прямо розкритикував безвідповідальність команди Resupply. Він підкреслив, що дизайн страхового пулу створений для реагування на непередбачувані Події Чорного лебедя, а не для компенсації низькорівневих помилок команди розробників. Він запитав: "Якщо помилки розробників можуть оплачувати користувачі, то це просто фіктивне страхування, яке забирає в багатих і віддає бідним."
Дії Yishi щодо захисту прав не лише спрямовані на команду Resupply, але й розширюються на відомі DeFi-протоколи, які співпрацюють з цим проєктом, такі як Curve, Convex та Yearn. Він зазначив, що ці проєкти отримали曝光 і прибуток, надаючи Resupply підтримку ліквідності та рекомендації, тому після події вони не повинні залишатися осторонь. Особливо Curve, чий стейблкойн crvUSD відігравав важливу роль у ліквідному пулі Resupply. Yishi закликав розробників та казначейства цих проєктів розділити відповідальність за компенсацію, щоб відшкодувати втрати інвесторів.
Згідно з публічною інформацією, в останні роки середніми щорічними втратами від крадіжок проектів, пов'язаних з їхніми протоколами, становили 10 мільйонів доларів, що також викликало підозри в самокрадіжці з боку спільноти.
Крім того, Іші також критикував комунікацію команди Resupply. Він зазначив, що команда не лише бракує прозорості, але й навіть насміхається та блокує інвесторів, які висловлюють незгоду, що є серйозною зрадою довіри спільноти. Він закликав Resupply розробити справедливе рішення, щоб повернути користувачам збитки, завдані через технічні помилки.
Незабаром Yishi зазнала атак через приватні повідомлення від анонімних осіб, які публікували дискримінаційні насмішливі слова ching chong, що викликало загальне обурення у китайськомовній спільноті.
!
Загострення конфлікту: Стикання з засновником Curve
Публічний захист Yishi швидко призвів до прямого конфлікту з засновником Curve Майклом Егоровим. Раніше Curve Finance опублікував заяву з приводу цього інциденту безпеки: «Хоча Resupply не був розроблений розробниками Curve, творці Resupply мають чудові здібності та досвід, і ми віримо, що вони зроблять все можливе, щоб вирішити цю проблему.»
Проте подія не закінчилася на цьому.
Згідно з інформацією Yishi, Майкл приватно заявляв, що хоче подати на нього в суд, причиною чого є те, що його заяви "підривали репутацію Curve". Ця новина викликала激烈争论 у спільноті на платформі X, багато хто вважає, що Curve, будучи партнером Resupply, повинна нести частину відповідальності, а не придушувати критику через юридичні загрози.
Yishi на X відповів: "Michael сказав, що збирається подати на мене в суд за наклеп на репутацію Curve. Що це за поведінка? Чесні люди, мабуть, повинні терпіти знущання, так?" Він зазначив, що, незважаючи на повагу до зусиль Michael щодо врегулювання ситуації, він не відмовиться від вимоги відповідальності.
З початком подій деякі користувачі почали пов'язувати особисті дії захисту прав Yishi з брендом OneKey, навіть звинувачуючи OneKey в "організації інформаційних атак" на Resupply. У відповідь на ці звинувачення OneKey 29 червня на платформі X опублікував офіційну заяву, в якій прояснив, що компанія ніколи не брала участі та не контролювала жодних інформаційних атак, а дії Yishi щодо захисту прав є її особистими інвестиційними діями і не мають нічого спільного з бізнесом OneKey.
Підсумок
Подія Resupply не лише є відображенням індивідуальної боротьби Yishi за права, але й відображає численні проблеми, які виникають у швидко розвиваючійся індустрії DeFi. По-перше, безпека смарт-контрактів залишається основним викликом для проектів DeFi. Хоча вразливість Resupply здається незначною, подібні події не є рідкістю в сфері DeFi. У 2024 році глобальні втрати криптовалюти через хакерські атаки та шахрайство перевищили 2,2 мільярда доларів, що підкреслює необхідність підвищення стандартів безпеки в цій індустрії.
По-друге, спосіб обробки команди Resupply виявив недоліки проектів DeFi в управлінні кризами. Відсутність прозорості, придушення dissentу, ухилення від відповідальності та інші дії не тільки шкодять довірі інвесторів, але й можуть завдати руйнівного удару довгостроковому розвитку проекту. Дії Yishi щодо захисту прав нагадують спільноті, що інвестори мають право вимагати від проекту відповідальності за технічні помилки, а не перекладати збитки на користувачів.
Подія ще викликала обговорення відповідальності партнерів у екосистемі DeFi. Проекти, такі як Curve, Convex, були залучені в суперечку через співпрацю з Resupply, що свідчить про те, що взаємозв'язок проектів DeFi є як їх перевагою, так і може стати підсилювачем ризиків. У майбутньому, як чітко визначити розподіл відповідальності в екосистемній співпраці, стане важливим питанням, яке потрібно вирішити індустрії DeFi.