撰文：1912212.eth，Foresight News

近年来，DeFi 领域的快速发展吸引了无数投资者和开发者，但其高风险和高回报并存的特性也频频引发不小问题，比如频频上演的黑客攻击盗取资金事件就困扰不少链上理财与套利者。6 月 27 日，DeFi 协议 Resupply 因重大安全漏洞导致 960 万美元的资金被盗，这一事件因 OneKey 创始人王一石（Yishi Wang）发起的维权行动而被社区广为人知。

Yishi 作为 Resupply 的主要投资人之一，公开批评项目方的失误并呼吁相关方承担责任，其行动在社区内引发了广泛讨论，甚至与 Curve 创始人 Michael Egorov 的激烈交锋。

Resupply 新兴的 DeFi 协议，旨在通过创新的流动性管理和收益策略吸引用户和投资者。DeFi 协议通常通过智能合约实现资金池的自动化管理，允许用户存入加密资产以获取收益。然而，这类协议的复杂性和代码漏洞常常成为黑客攻击的目标。Resupply 自推出以来，凭借其高收益承诺和与 Curve、Convex、Yearn 等知名 DeFi 项目的合作，迅速吸引了大量资金和关注，被盗事件发生前管理着数亿美元的资产。

加密钱包公司 OneKey 的创始人王一石，是 Resupply 的前三大投资人之一。据其 X 上的公开声明，他个人向 Resupply 投资了数百万美元，本次攻击事件不仅造成了重大经济损失，也带来了巨大的心理压力。

根据 Yishi 的分析，事件的根本原因是 Resupply 团队在部署新资金池（vault）时未能销毁初始份额，导致智能合约中的 ERC-4626 标准出现“通胀型铸币漏洞”。这一漏洞允许攻击者以零成本铸造无限量的代币，进而将资金池中的资产洗劫一空。

Yishi 评论道：“这不是黑天鹅事件，是人祸，是开发层级的严重疏忽。”他指出，这一漏洞并非外部黑客利用复杂技术手段，而是团队在基础代码部署上的低级错误。这种失误在 DeFi 领域尤为致命，因为智能合约的不可篡改性意味着一旦漏洞被利用，损失几乎无法挽回。

区块链黑客攻击事件时时刻刻都在不断上演，过去数年有多个公链、DeFi、交易所都上演过被黑客攻击的惊魂时刻。我们会发现，其官方团队往往会及时表态，并第一时间向黑客喊话，然而 Resupply 团队的处理方式则令人匪夷所思。不仅沉默应对黑客攻击者，甚至「直至目前仍未做技术溯源 / 白帽赏金有关工作」。

Yishi 透露，团队并未第一时间展开调查或报警，而是试图通过保险池让投资者承担损失，同时在官方 Discord 服务器中封锁质疑者的发言。身为主要投资人的 Yishi 在提出合理质疑后，竟被团队无预警禁言，这一行为令他感到“震惊且愤怒”。