近年来,去中心化金融(DeFi)领域迅猛发展,吸引了大量投资者和开发者。然而,DeFi本质上的智能合约依赖和代码复杂性也使其成为黑客攻击的高风险目标。2025年6月底,新兴DeFi协议Resupply因智能合约设计缺陷导致高达960万美元的资金被黑,事件不仅引发行业震动,更因项目方试图让用户承担损失而引发轩然大波。
OneKey创始人王一石(Yishi Wang),作为Resupply的主要投资人之一,公开发声强烈谴责项目团队的严重疏忽。他将此次事件定性为“人祸而非黑天鹅”,并发起维权行动,要求Resupply及其合作伙伴承担应有责任。这场风波迅速激起社区广泛关注,甚至与Curve创始人Michael Egorov产生激烈对峙,成为近期DeFi安全事件中的焦点。
智能合约漏洞引发代币无限铸造资金池被掏空
Resupply作为一个依托创新流动性管理机制的DeFi协议,依靠与Curve、Convex和Yearn等知名项目的合作,短时间内吸引了数亿美元资产入驻。其核心机制基于ERC-4626标准的资金池(vault),旨在为用户提供自动化收益优化。
然而,正是Resupply团队在新资金池部署时未销毁初始份额这一低级失误,导致智能合约存在“通胀型铸币漏洞”。攻击者利用该漏洞实现零成本无限制铸造代币,进而掏空资金池资产。王一石指出:“这并非外部黑客复杂手段所致,而是团队基本代码部署上的严重疏忽,属于人祸。”智能合约不可篡改的特性使得一旦漏洞被利用,损失几乎不可逆转。
项目团队沉默应对压制质疑引发投资人愤怒
相比其他DeFi项目在被攻击后第一时间启动技术溯源与白帽赏金机制,Resupply团队的沉默和无所作为令人费解。更令投资者震惊的是,项目方不仅迟迟未启动调查,还试图通过保险池机制将损失转嫁给用户,并在官方Discord服务器封禁提出质疑的声音。
作为核心投资人的王一石,在公开质疑项目团队责任后,竟遭到无预警禁言,引发强烈不满和愤怒。他认为保险池本应应对不可预见的黑天鹅事件,而非弥补因开发失误导致的损失,质疑团队让用户买单的做法形同“劫富济穷的假保险”。
合作伙伴被卷入责任争议DeFi生态互联带来风险扩散
此次事件不仅令Resupply陷入舆论风暴,也将其合作方拉入漩涡。Yishi强调,Curve、Convex、Yearn等项目作为资金池重要流动性提供者和背书方,理应对投资者损失承担部分责任。尤其是Curve稳定币crvUSD在Resupply资金池中的关键地位,使其难以置身事外。
这一指责引发与Curve创始人Michael Egorov的公开冲突。Curve方面起初发表声明称Resupply团队经验丰富,会积极解决问题,但随后Michael私下表示将对Yishi提起诉讼,指责其“抹黑Curve声誉”。这一做法激起社区强烈反弹,许多用户认为Curve应正视合作责任,而非通过法律手段压制批评声音。
历史案例映射行业安全隐患及信任危机
Resupply事件并非孤例,DeFi领域过去数年同类合约漏洞和黑客攻击频发。统计显示,2021年至今,Yearn Finance、Prisma Finance及Convex Finance等多家知名项目累计因漏洞遭受千万美元级别资金损失。类似因合约业务逻辑漏洞、权限管理不善、闪电贷攻击等引发的安全事件屡见不鲜。
同时,DeFi项目在遭遇安全事故时普遍存在沟通不透明、推卸责任、压制异议的现象,进一步加剧了社区信任危机。Resupply团队对投资者质疑的嘲讽与封禁行为,成为该事件的另一焦点。王一石的维权行动提醒整个行业,技术失误导致的损失不能成为转嫁用户的理由,项目方必须承担相应责任。
社区反应激烈事件升级引发更广泛关注
王一石维权后遭到匿名歧视性私信攻击,令华语社区普遍愤慨,事件迅速发酵。与此同时,部分用户将其个人行动与OneKey品牌混为一谈,指责其组织舆论攻击。对此,OneKey官方公开澄清,强调王一石的行为属个人投资人维权,与公司业务无关,坚决反对任何形式的攻击和歧视。
事件启示DeFi生态合作需明确责任机制共筑安全防线
Resupply安全事件暴露出DeFi智能合约安全防护和危机应对机制的严重不足,也凸显生态合作中的责任分配盲区。未来,DeFi项目需在技术审计、保险设计、合作伙伴监管以及社区沟通等方面全面加强规范,避免单点失误引发系统性风险。
同时,投资者权益保护应得到行业更广泛重视,项目方应承担因技术和管理失误带来的损失,而非将风险转嫁给普通用户。Resupply事件不仅是一次技术漏洞的惨痛教训,更是DeFi生态成熟道路上的重要反思节点。