Bản gốc | Odaily Planet Daily ( @OdailyChina )
Tác giả | Đinh Đang ( @XiaMiPP )
Vào ngày 26 tháng 6, thị trường wstUSR theo giao thức stablecoin phi tập trung Resupply được báo cáo là đã bị tấn công và khoảng 9,5 triệu đô la Mỹ tài sản đã bị chuyển đi.
Trong thế giới tiền mã hóa, những sự cố như vậy không phải là hiếm. Số tiền bị đánh cắp từ Resupply thậm chí không phải là quá lớn, nhưng nó đã gây ra tranh cãi trong cộng đồng. Đặc biệt, nhóm dự án đã không thu hồi được tiền của tin tặc, không bắt chúng phải chịu trách nhiệm, không báo cáo với cảnh sát hoặc đưa ra phần thưởng. Thay vào đó, họ đã sử dụng tài sản của cộng đồng để lấp đầy lỗ hổng. Kết quả là, sự tức giận của cộng đồng ngày càng gia tăng. Nhà sáng lập OneKey Yishi , nhà sáng lập SlowMist Yu Xian và những người tiền mã hóa khác đã đứng lên kêu gọi nhóm dự án, và thậm chí dư luận quản lý này đã leo thang thành phân biệt chủng tộc.
Odaily Planet Daily sẽ bắt đầu từ toàn bộ sự việc, tìm ra nguyên nhân gốc rễ của xung đột và làm rõ lập trường của tất cả các bên.
1. Quy trình tấn công: vay hàng triệu đô la từ thế chấp 1 wei
Resupply là một giao thức stablecoin phi tập trung được xây dựng xung quanh crvUSD và cấu trúc cơ bản của nó phụ thuộc rất nhiều vào cấu trúc nhóm giao dịch, mô hình lãi suất và logic neo tài sản của hệ sinh thái Curve. Bằng cách thu hút thanh khoản thông qua các cặp giao dịch như crvUSD-wstUSR, dự án đã tích lũy được hàng chục triệu đô la ở các vị thế bị khóa trong một thời gian ngắn.
Từ cách sử dụng mã, logic quản trị, đến phương pháp truy cập kho bạc, Resupply trông giống như một tòa nhà cao tầng độc lập, nhưng thực tế nó lại có gốc rễ sâu xa giữa hai cơ sở hạ tầng DeFi chính là Curve và Convex. Người ta thường tin rằng có sự hợp tác về nguồn lực phát triển giữa nó và Convex, và thậm chí còn có tin đồn rằng nó được bí mật ấp ủ bởi nhóm phát triển cốt lõi.
Mối quan hệ này đã trở thành điểm khởi đầu của tranh cãi sau vụ việc.
Vào ngày 26 tháng 6, công ty bảo mật BlockSec lần đầu tiên phát hiện dòng tiền bất thường trong Resupply và ban đầu ước tính khoản lỗ lên tới 9,5 triệu đô la.
Sau đó, đường tấn công đã được tháo rời: kẻ tấn công đã lợi dụng lỗi thiết kế cấu trúc trong quá trình triển khai wstUSR vault của Resupply. Cụ thể, bằng cách đưa các tham số được xây dựng cẩn thận vào hợp đồng Controller, exchangeRate ngay lập tức bằng 0, phát hiện tài sản thế chấp không thành công và tất cả các cơ chế thanh lý và kiểm soát rủi ro đều bị bỏ qua.
Chỉ với 1 wei làm tài sản thế chấp, kẻ tấn công đã vay một lượng lớn reUSD, chuyển đổi tài sản thành ETH sau khi rửa tiền và trộn các đồng tiền này thông qua Tornado Cash. Sau đó, số tài sản bị mất có giá trị khoảng 9,5 triệu đô la Mỹ. Yu Xian, người sáng lập SlowMist, cho biết đây là lỗ hổng lạm phát lãi suất.
Resupply đã công bố báo cáo phân tích tấn công của tin tặc vào ngày 28 tháng 6, trong đó chỉ ra rằng cuộc tấn công vào cặp giao dịch crvUSD-wstUSR của Resupply đã gây ra khoản nợ xấu reUSD khoảng 10 triệu đô la, nhưng lỗ hổng này chỉ tồn tại trong một cặp giao dịch mã thông báo cụ thể. Các cặp giao dịch mã thông báo khác không bị ảnh hưởng và thị trường Resupply vẫn hoạt động bình thường. Hiện tại, giới hạn nợ của các cặp mã thông báo bị ảnh hưởng đã được đặt thành 0 và việc rút tiền từ nhóm bảo hiểm đã bị đình chỉ. Cần phải có một cuộc bỏ phiếu quản trị chính thức để dỡ bỏ lệnh đình chỉ. Phân đoạn mã có vấn đề đã trải qua nhiều cuộc kiểm toán bảo mật và các nhà nghiên cứu độc lập đã được thuê để xem xét cơ sở mã, nhưng vấn đề vẫn chưa được báo cáo. Ở giai đoạn này, số tiền bị đánh cắp vẫn còn trên chuỗi và tình hình liên quan đang được theo dõi và các biện pháp cần thiết sẽ được thực hiện.
Bản thân lỗ hổng không phức tạp, nhưng nó phá vỡ ranh giới bảo mật cốt lõi của giao thức. Nhưng tranh cãi thực sự bắt đầu với biện pháp khắc phục của dự án.
2. Biện pháp khắc phục của bên dự án: Đề xuất quản lý trở thành “cắt tỏi tây”?
Vào ngày 29 tháng 6, nhóm chính thức của giao thức Tiếp tế đã khởi xướng đề xuất các biện pháp khắc phục trong cộng đồng, tuyên bố rằng họ sẽ nhanh chóng sửa chữa hoạt động của giao thức thông qua sự đồng thuận của cộng đồng.
Nội dung cụ thể của đề xuất như sau:
Giai đoạn 1: Thực hiện hành động quản lý ngay lập tức
Hủy mã thông báo Quỹ bảo hiểm (IP): Tại thời điểm viết đề xuất, tổng số nợ xấu chưa thanh toán là 7.131.168 reUSD sau khi Resupply Protocol Treasury, Convex Treasury và C2tP đã thanh toán 2.868.832 reUSD.
Đề xuất nêu rõ rằng:
6.000.000 ReUSD nợ xấu sẽ được đốt qua quỹ bảo hiểm, chiếm 15,5% trong tổng số 38,7 triệu ReUSD trong quỹ bảo hiểm.
Thỏa thuận sẽ giải quyết các khoản nợ xấu đang diễn ra để giảm số tiền mà quỹ bảo hiểm nợ. Nhìn chung, con số này ít hơn 4 triệu đô la so với số tiền nợ xấu ban đầu mà quỹ bảo hiểm nợ.
Khoản nợ xấu còn lại (1.131.168 đô la) sẽ được trả thông qua nhiều nguồn doanh thu trong tương lai, chẳng hạn như, nhưng không giới hạn ở, phí thỏa thuận và/hoặc chương trình bán hàng ngoài thị trường RSUP tiềm năng do Bộ phận Tài chính hoặc Quản trị xác định sau.
Thời hạn rút IP:
Chính quyền đang nỗ lực hết sức để rút ngắn thời gian khóa bắt buộc của quỹ người dùng trong quỹ bảo hiểm. Để đạt được mục đích này, thời gian bỏ phiếu của những người bỏ phiếu cho đề xuất Resupply được cập nhật sẽ được rút ngắn xuống còn 3 ngày.
Bằng cách sử dụng cửa sổ bỏ phiếu ngắn hơn, DAO có thể đưa ra quyết định nhanh chóng trên chuỗi về đề xuất vì lợi ích của người gửi tiền và đạt được giải pháp cuối cùng trong thời gian chờ IP ban đầu là 7 ngày.
DAO có thể chọn kéo dài thời gian bỏ phiếu thường lệ lên 7 ngày sau khi đề xuất này kết thúc hoặc khám phá các lựa chọn khác như thời gian bỏ phiếu khác nhau cho các cuộc bỏ phiếu tiêu chuẩn và khẩn cấp.
Giai đoạn 2: Kế hoạch duy trì quỹ bảo hiểm
Tổng quan: Chương trình duy trì IP áp dụng cho những người dùng là người gửi tiền trong nhóm bảo hiểm tại thời điểm đề xuất này và những người bị cắt giảm trong Giai đoạn 1 ở trên. Chương trình này không nhằm mục đích bù đắp cho việc cắt giảm, mặc dù có thể hoặc không; thay vào đó, chương trình này nhằm mục đích khuyến khích việc tiếp tục ở lại nhóm bảo hiểm sau khi cắt giảm thêm các token RSUP thanh khoản. Tùy chọn tham gia là mặc định, nhưng người dùng có thể chọn không tham gia bất kỳ lúc nào nếu họ quyết định không tham gia.
Việc từ chối sẽ phân phối dòng cổ phiếu RSUP bổ sung cho các cổ phiếu còn lại. Đề xuất này yêu cầu triển khai các hợp đồng, sẽ được ban hành sau khi các hợp đồng đã được xem xét và triển khai.
Nguồn doanh thu của dự án: Một đơn vị thu tiền RSUP chuyên dụng sẽ được tạo cho chương trình lưu giữ.
Nếu được thông qua, đề xuất này cam kết DAO sẽ phân phối tổng cộng 2,5 triệu cho người nhận trong vòng 52 tuần.
Nội dung cốt lõi của đề xuất trên có thể được hiểu như sau:
6 triệu reUSD trong quỹ bảo hiểm đã bị đốt để phòng ngừa nợ xấu
Khoản nợ xấu còn lại là 1,13 triệu đô la sẽ được trả từ doanh thu hợp đồng trong tương lai
Phát hành phần thưởng RSUP trực tuyến cho người dùng ở lại nhóm bảo hiểm để ổn định niềm tin
Tạm dừng các kênh rút tiền, rút ngắn chu kỳ bỏ phiếu và đẩy nhanh quá trình quản trị
Đề xuất này về cơ bản là một “sự hợp tác cộng đồng” nhanh chóng, nhưng cộng đồng nhìn chung coi đây là một “cơ chế thanh toán không cần thương lượng của người dùng”.
Quỹ bảo hiểm ban đầu được dự định để giải quyết các biến động của thị trường, không phải các lỗ hổng triển khai dự án; và đề xuất không đề cập đến việc thu hồi tiền của tin tặc, trách nhiệm giải trình, báo cáo với cảnh sát và phần thưởng. Phản ứng đầu tiên của dự án là sử dụng tài sản cộng đồng để lấp đầy lỗ hổng, thay vì tìm ra trách nhiệm đối với lỗ hổng.
Quản trị đã trở thành công cụ để “chuyển giao trách nhiệm”.
3. Sự tức giận của cộng đồng: nạn nhân hay vật tế thần?
Sau vụ tấn công, nhóm Discord của Resupply đã bùng nổ. Sau đó, khi một số LP lớn hỏi tại sao quỹ bảo hiểm phải trả tiền cho các lỗi kỹ thuật, họ thậm chí còn bị đuổi hoặc bị quản trị viên cấm.
Sự không hài lòng của người dùng tập trung ở ba khía cạnh:
Cấp độ thể chế : Văn bản thỏa thuận không nêu rõ quỹ bảo hiểm cần chi trả cho các lỗi phát triển nhưng bên dự án đã tự ý điều chỉnh việc sử dụng sau đó.
Quản trị : Các đề xuất về quản trị được thúc đẩy vội vàng và người dùng không được cung cấp đủ không gian để tham gia và thảo luận.
Mức độ cảm xúc : Sau vụ tấn công, nhóm dự án không thể hiện sự đồng cảm và trách nhiệm mà thay vào đó là kiểm soát rủi ro, dư luận và cảm xúc.
Ví dụ, vào ngày 27 tháng 6, nhà sáng lập OneKey, Yishi đã lần đầu tiên phát biểu trước công chúng, yêu cầu Curve cung cấp giải pháp công bằng cho mọi nhà đầu tư và trả lại tiền cho người dùng bị mất do lỗi kỹ thuật nghiêm trọng của bên dự án.
Ông tiết lộ rằng ông là một trong ba nhà đầu tư lớn nhất vào Resupply và đã mất hàng triệu đô la. Ông tin rằng cuộc tấn công là do lỗi cấu trúc trong đó các cổ phiếu ban đầu không bị phá hủy khi kho lưu trữ ERC 4626 được triển khai và kẻ tấn công có thể đúc các cổ phiếu không giới hạn với chi phí gần như bằng không để rút hết kho lưu trữ.
Ông cũng chỉ ra rằng dự án không chỉ cố gắng chuyển các khoản lỗ cho người dùng nhóm bảo hiểm mà còn cấm những người đặt câu hỏi hợp lý trong nhóm Discord. Ông cho biết Curve, Convex và Yearn đều đã hỗ trợ Resupply về mặt công nghệ, quản trị hoặc tài nguyên và không nên tách rời một cách nhẹ nhàng sau đó.
Thành viên cộng đồng @2233 3D đã đăng một video cáo buộc nhóm Resupply đã bỏ bê nhiệm vụ, chủ yếu bao gồm việc áp dụng chính sách xoa dịu sau sự cố tấn công do lỗi cấp thấp trong hợp đồng, không đình chỉ, không báo cáo, không đưa ra phần thưởng, đá người khác và bịt miệng họ trên Discord, và tuyên bố rằng người dùng quỹ bảo hiểm được sử dụng để bảo vệ trước rủi ro biến động thị trường phải chịu tổn thất.
Yu Xian, người sáng lập SlowMist, nói thêm: Chủ dự án là người đầu tiên trong lịch sử không đưa ra bất kỳ tuyên bố hay bày tỏ quan điểm nào về tiền thưởng. Nếu tôi là kẻ tấn công, tôi cũng sẽ bối rối. Tại sao chủ dự án không bày tỏ quan điểm của mình? Tôi là hacker mũ đen hay hacker mũ trắng?
Ngay cả sự quản lý này cũng đã leo thang thành phân biệt chủng tộc. Vào ngày 28 tháng 6, người sáng lập OneKey Yishi đã đăng một thông điệp nói rằng anh đã gặp phải từ phân biệt chủng tộc rõ ràng chixx choxx khi giao tiếp với các thành viên dự án, điều này đã gây ra sự phẫn nộ lớn trong công chúng. Từ này được coi rộng rãi là một cách diễn đạt xúc phạm đến cộng đồng người Hoa. Nhiều người trong ngành đã ngay lập tức phát động một hành động Slash để ủng hộ Yishi, nhấn mạnh rằng phân biệt chủng tộc là không thể tha thứ trong bất kỳ bối cảnh nào.
Người sáng lập Curve, Michael muốn kiện: Không phải là người ngoài cuộc, mà là nạn nhân?
Yishi cho biết trong một dòng tweet vào ngày 28 tháng 6 rằng Michael đã nói sẽ kiện anh ta, cáo buộc anh ta phỉ báng danh tiếng của Curve và bày tỏ sự không hài lòng với điều này, nói rằng những người trung thực đáng bị bắt nạt.
Người ủng hộ Michael @HaowiWang đã trả lời công khai rằng đây không còn là cuộc tranh luận về ai đúng ai sai nữa mà là cuộc tấn công vào lòng tin có hệ thống của thương hiệu Curve. Ông đã liệt kê năm tội ác lớn của Yishi:
1. Phỉ báng và bịa đặt sự thật: Yishi liên tục đổ lỗi vụ việc Resupply cho Curve trên mạng xã hội và trên Twitter, ngụ ý rằng công ty này có trách nhiệm kiểm soát thực sự và gây hiểu lầm cho công chúng;
2. Gây tổn hại đến danh tiếng: Là người của công chúng, Yishi đã trực tiếp hoặc gián tiếp chỉ trích Curve, khiến dự án này phải chịu cuộc khủng hoảng lòng tin trong cộng đồng người Hoa;
3. Thao túng có tổ chức các KOC để phát tán thông tin sai lệch: Họ có thể huy động một lượng lớn KOC/KOL trong hệ sinh thái OneKey để định hướng dư luận và xây dựng nên câu chuyện về “Những kẻ đồng lõa với Curve”;
4. Mục đích gây áp lực để bù đắp tổn thất là rõ ràng: thông qua các khẩu hiệu Curve là người hưởng lợi lớn nhất và không phản ứng là chấp nhận, áp lực đạo đức được tạo ra nhằm buộc Curve phải bù đắp tổn thất;
5. Chuỗi bằng chứng phải đầy đủ: các dòng tweet, ảnh chụp màn hình, hồ sơ trò chuyện nhóm, chuỗi mạng chuyển tiếp, v.v., tạo thành ngưỡng tối thiểu cần thiết để truy tố.
Vào ngày 29, OneKey chính thức đưa ra tuyên bố làm rõ rằng họ chưa bao giờ kích động, tổ chức hoặc thao túng bất kỳ KOL hoặc người dùng nào dưới bất kỳ hình thức nào để phát động một cuộc tấn công dư luận vào Curve hoặc bất kỳ dự án nào. OneKey sẽ truy cứu trách nhiệm pháp lý đối với các cáo buộc ác ý và tuyên bố sai sự thật do một số cá nhân lan truyền trên nền tảng xã hội hiện tại và sẽ không dung thứ cho chúng. Ngoài ra, người sáng lập, ông Yishi, đã tham gia đầu tư hoàn toàn với tư cách cá nhân, đó là hành vi cá nhân của ông. Không có nguồn lực chính thức nào của OneKey tham gia vào dự án. Đồng thời, tất cả các sản phẩm của OneKey đều là thiết kế nguồn mở, không có cửa hậu và đã được các nhóm bảo mật chuyên nghiệp như SlowMist kiểm toán đầy đủ.
Vào ngày 30, nhà sáng lập OneKey, Yishi đã đăng ảnh chụp màn hình bị Curve Finance chặn và chú thích là “Đã tốt nghiệp”.
Kết luận: Sau cuộc khủng hoảng, những gì còn lại không phải là một thỏa thuận, mà là những vết nứt
Sự cố Resupply bắt đầu từ một cuộc tấn công của tin tặc và cuối cùng phát triển thành một cuộc khủng hoảng toàn diện liên quan đến trách nhiệm quản lý, truyền thông cộng đồng, phân biệt chủng tộc và đạo đức thương hiệu.
Đây không phải là lần đầu tiên DeFi bị tấn công, cũng không phải là lần cuối cùng. Nhưng có lẽ đây là lần đầu tiên cộng đồng bị đẩy vào vị thế người chịu thiệt hại mà không có phản hồi từ tin tặc hoặc lời xin lỗi từ dự án.
Trong thế giới DeFi, nền tảng của lòng tin không nằm ở white paper hay báo cáo kiểm toán, mà nằm ở phản ứng đầu tiên sau sự cố của bên dự án. Các đề xuất quản trị có thể sửa chữa được giao thức, nhưng không thể sửa chữa được cộng đồng bị chia rẽ. Giao thức vẫn đang chạy, nhưng lòng tin đã mất và sẽ không bao giờ quay trở lại.
