補給事件の検証:ハッカーが暴走、ユーザーは穴埋めを強いられる、セキュリティインシデントが人種差別スキャンダルに発展

avatar
叮当
14時間前
本文は約5444字で,全文を読むには約7分かかります
ハッカーを追及するのではなく、まずハッカーの利益を刈り取るという史上初の合意でしょうか?

オリジナル | Odaily Planet Daily ( @OdailyChina )

著者 |ディンダン ( @XiaMiPP )

補給事件の検証:ハッカーが暴走、ユーザーは穴埋めを強いられる、セキュリティインシデントが人種差別スキャンダルに発展

6月26日、分散型ステーブルコインプロトコルResupplyのwstUSR市場がハッキングされ、約950万ドル相当の資産が移転されたと報じられた。

暗号資産の世界では、このような事件は珍しくありません。Resupplyから盗まれた金額はそれほど大きくないにもかかわらず、コミュニティ内で論争を巻き起こしました。特に、プロジェクトチームはハッカーの資金を回収せず、責任を問うことも、警察に通報することも、報奨金を提供することもせず、コミュニティの資産を使って穴埋めをしました。その結果、コミュニティの怒りは激化しました。OneKeyの創設者Yishi氏、 SlowMistの創設者Yu Xian氏をはじめとする暗号資産関係者が立ち上がり、プロジェクトチームへの非難を強めました。このガバナンスに関する世論は「人種差別」にまでエスカレートしました。

Odaily Planet Dailyは、事件の全容を検証し、紛争の根本原因を整理し、各当事者の立場を明らかにしていきます。

1. 攻撃のプロセス:「1wei担保」から数百万ドルを借り入れ

ResupplyはcrvUSDを基盤とする分散型ステーブルコインプロトコルであり、その基盤構造はCurveエコシステムの取引プール構造、金利モデル、資産ペグロジックに大きく依存しています。crvUSD-wstUSRなどの取引ペアを通じて流動性を獲得することで、このプロジェクトは短期間で数千万ドル規模のロックポジションを蓄積しました。

コードの使用法、ガバナンスロジック、そして資金へのアクセス方法に至るまで、Resupplyは一見「独立した高層ビル」のように見えますが、実際にはCurveとConvexという2大DeFiインフラの間に深く根ざしています。ConvexとResupplyの間で開発リソースの連携が行われていると広く信じられており、コア開発チームによって「密かに構想された」という噂さえあります。

この関係は事件後の論争の発端となった。

6月26日、セキュリティ会社BlockSecがResupplyの異常な資金の流れを初めて発見し、当初損失額を950万ドルと見積もった。

補給事件の検証:ハッカーが暴走、ユーザーは穴埋めを強いられる、セキュリティインシデントが人種差別スキャンダルに発展

その後、攻撃経路は解明されました。攻撃者は、ResupplyのwstUSR金庫の導入における構造的な設計ミスを悪用しました。具体的には、Controllerコントラクトに綿密に構築されたパラメータを注入することで、exchangeRateは瞬時にゼロになり、担保検出は失敗し、すべての清算およびリスク管理メカニズムがバイパスされました。

攻撃者はわずか1ウェイを担保に多額のreUSDを借り入れ、資産をロンダリング後にETHに換金し、Tornado Cashを通じて混合しました。その後、資産損失は約950万ドルに上りました。SlowMistの創設者であるYu Xian氏は、これを「金利インフレの抜け穴」だと述べています。

Resupplyは6月28日にハッカー攻撃分析レポートを発表し、ResupplyのcrvUSD-wstUSR取引ペアへの攻撃により、約1,000万ドルのreUSD不良債権が発生したが、脆弱性は特定のトークン取引ペアにのみ存在し、他のトークン取引ペアには影響がなく、Resupply市場は通常通り運営されていたと指摘した。現在、影響を受けたトークンペアの債務限度額は0に設定され、保険プールの引き出しは停止されている。停止解除には正式なガバナンス投票が必要である。問題のあるコードセグメントは複数回のセキュリティ監査を受け、独立した研究者を雇用してコードベースをレビューしたが、問題は報告されていない。現段階では、盗まれた資金はまだチェーン上にあり、関連状況を監視し、必要な対策を講じる予定である。

脆弱性自体は複雑ではありませんが、プロトコルの中核となるセキュリティ境界を突破するものです。しかし、真の論争はプロジェクトの「改善策」から始まります。

2. プロジェクト側による改善:ガバナンス提案は「ネギ切り」になる?

6月29日、補給プロトコルの公式チームはコミュニティ内で是正措置の提案を開始し、コミュニティの合意を通じて「プロトコルの運用を迅速に修復する」と宣言した。

提案の具体的な内容は以下のとおりです。

フェーズ1: 即時のガバナンスアクション

保険プール (IP) トークンの破棄: 提案書の執筆時点では、Resupply Protocol Treasury、Convex Treasury、C2tP が 2,868,832 reUSD を支払った後、未払いの不良債権の総額は 7,131,168 reUSD となっています。

この提案では具体的に次のことが規定されています。

  1. 6,000,000 ReUSD の不良債権が保険プールを通じて焼却され、これは保険プール内の 3,870 万 ReUSD の 15.5% を占めます。

  2. この合意により、保険プールの債務残高を削減するために、現在進行中の不良債権に対処します。全体として、これは保険プールが当初負っていた不良債権残高より400万ドル減少します。

  3. 残りの不良債権(1,131,168 ドル)は、契約手数料や、財務部門またはガバナンス部門が後日決定する潜在的な RSUP オフマーケット販売プログラムなど、将来の収入源の組み合わせを通じて返済されます。

IP撤回期間:

  • 当局は、保険プールにおける利用者資金の強制的なロックアップ期間の短縮に全力を尽くしています。この目的のため、改訂された再供給案に対する投票期間は3日間に短縮されます。

  • より短い投票期間を利用することで、DAO は預金者の利益のために提案についてチェーン上で迅速な決定を下し、最初の 7 日間の IP クールダウン期間内に最終解決に達することができます。

  • DAO は、この提案の終了後 7 日間に通常の投票期間を延長するか、標準投票と緊急投票に異なる投票時間を設けるなどの他のオプションを検討する可能性があります。

フェーズ2:保険プール維持計画

  • 概要:IP保持プログラムは、本提案時点で保険プールに預金しており、上記のフェーズ1で削減されたユーザーに適用されます。削減分を相殺することを意図したものではありません(相殺するかどうかは不確定ですが)。むしろ、流動性の高いRSUPトークンを追加で削減した後も保険プールに留まることを奨励することを目的としています。オプトインがデフォルトですが、ユーザーは参加を希望しない場合はいつでもオプトアウトできます。

  • オプトアウトにより、RSUP株の追加流入は残りの株式に分配されます。この提案には契約の展開が必要であり、契約の見直しと展開が完了した後、後日発行されます。

  • プロジェクト収益源: 保持プログラム専用の RSUP リリース レシーバーが作成されます。

この提案が可決されれば、DAO は 52 週間にわたって受取人に合計 250 万ドルを分配することを約束することになります。

上記の提案の核心は次のように解釈できます。

  • 保険プールの600万レアル米ドルが不良債権ヘッジのために燃やされた

  • 残りの不良債権113万ドルは将来の契約収入から返済される。

  • 保険プールに留まるユーザーにストリーミングRSUP報酬を発行して信頼を安定させる

  • 撤退チャネルを停止し、投票サイクルを短縮し、ガバナンスを迅速化する

この提案は表面上は迅速な「コミュニティコラボレーション」ですが、コミュニティは一般的にこれを「交渉のないユーザー支払いメカニズム」と見なしています。

保険プールはもともと市場変動への対応を目的としており、プロジェクトの展開における脆弱性への対応ではありませんでした。また、提案にはハッカー資金の回収、説明責任、警察への通報、報奨金などについては一切触れられていませんでした。プロジェクトの最初の反応は、脆弱性の責任者を特定するのではなく、コミュニティの資産を使って穴を埋めることでした。

ガバナンスは「責任の転換」のツールとなっている。

3. コミュニティの怒り:被害者かスケープゴートか?

攻撃後、ResupplyのDiscordグループは大混乱に陥りました。その後、一部の大手LPが「なぜ保険プールが技術的エラーの費用を負担しなければならないのか」と疑問を呈したところ、管理者から追放または禁止処分を受けました。

ユーザーの不満は次の 3 つの側面に集中しています。

  • 制度レベル:契約書には開発ミスを保険プールでカバーする必要があると明記されていないが、プロジェクト側が事後的に使用方法を調整した。

  • ガバナンス: ガバナンスの提案は急いで進められ、ユーザーには参加や議論のための十分なスペースが与えられていません。

  • 感情レベル: 攻撃後、プロジェクトチームは共感や責任感を示さず、代わりにリスク、世論、感情をコントロールしました。

例えば、6月27日、OneKeyの創設者であるYishi氏は初めて公の場で発言し、Curveに対してすべての投資家に公正な解決策を提供し、プロジェクト側の重大な技術的エラーにより失われたユーザーの資金を返還するよう要求した。

彼はResupplyの3大投資家の1人であり、数百万ドルの損失を被ったことを明かした。彼は、攻撃は「構造的なエラー」によって引き起こされたと考えている。ERC4626金庫の展開時に初期の株式が破棄されず、攻撃者はほぼゼロコストで無制限に株式を発行し、金庫の資産を枯渇させることができたのだ。

彼はまた、Resupplyプロジェクトが損失を保険プール利用者に転嫁しようとしただけでなく、Discordグループで理性的な質問をするユーザーを追放したことを指摘した。Curve、Convex、Yearnはいずれも技術、ガバナンス、リソースの面でResupplyを支援しており、その後軽々しく「関係を断つ」べきではないと述べた。

コミュニティ メンバー@2233 3Dは、Resupply チームに対し、契約上の軽微なエラーが原因でハッキング事件が発生した後に宥和政策を採用したこと、アカウントを停止せず、報告せず、報酬を提供しなかったこと、Discord で人々を蹴って口を覆ったこと、市場の変動リスクから保護するために使用された保険プールのユーザーが損失を負担すべきであると主張したことなど、さまざまな職務怠慢を非難する動画を投稿しました。

SlowMistの創設者であるYu Xian氏は、「プロジェクトオーナーは、報奨金についていかなる声明も発表せず、立場も表明していない史上初の人物です。もし私が攻撃者だったら、私も困惑するでしょう。なぜプロジェクトオーナーは立場を表明しないのでしょうか?私はブラックハットハッカーなのでしょうか、それともホワイトハットハッカーなのでしょうか?」と付け加えた。

このガバナンスは「人種差別」へとエスカレートしました。6月28日、OneKeyの創設者であるYishi氏は、プロジェクトメンバーとのコミュニケーション中に、明らかに人種差別的な言葉「chixx choxx」に遭遇したというメッセージを投稿し、大きな反響を呼びました。この言葉は、中華系コミュニティに対する侮辱的な表現として広く認識されています。業界の多くの人々が直ちにSlashアクションを立ち上げ、Yishi氏を支持し、「いかなる状況においても人種差別は許されない」と強調しました。

Curve 創設者マイケルは訴訟を望んでいる: 傍観者ではなく被害者?

イシさんは6月28日のツイートで、マイケルさんがカーブの名誉を傷つけたとして訴訟を起こすと言ったと述べ、「正直な人はいじめられて当然だ」と不満を表明した。

マイケル氏の支持者である@HaowiWang氏は、これはもはや「誰が正しくて誰が間違っているか」という議論ではなく、カーブブランドのシステム的な信頼に対する攻撃だと公に反論した。彼はイーシー氏の5つの主要な「罪」を挙げた。

1. 悪意のある名誉毀損と事実の捏造: YishiはソーシャルネットワークやTwitterで繰り返しResupply事件の責任をCurveに帰し、同社が実際の管理責任を負っていると示唆し、世論を誤解させた。

2. 評判へのダメージ:公人である Yishi が Curve を直接または間接的に名指ししたことで、このプロジェクトは中国系コミュニティにおける信頼の危機に陥りました。

3. KOC を組織的に操作して虚偽の情報を広める: OneKey エコシステム内の多数の KOC/KOL を動員して世論を誘導し、「Curve の共犯者」という物語を構築します。

4. 損失を補填するために圧力をかけようとする意図は明らかです。 「Curve が最大の受益者」や「応答しないことは黙認である」というスローガンを通じて、Curve に損失を補填させるための道徳的圧力が生み出されています。

5. 証拠の連鎖が完全である:ツイート、スクリーンショット、グループチャットの記録、転送ネットワーク チェーンなどが、起訴に必要な最低限の基準を構成します。

補給事件の検証:ハッカーが暴走、ユーザーは穴埋めを強いられる、セキュリティインシデントが人種差別スキャンダルに発展

補給事件の検証:ハッカーが暴走、ユーザーは穴埋めを強いられる、セキュリティインシデントが人種差別スキャンダルに発展

OneKeyは29日、公式声明を発表し、いかなるKOLやユーザーを扇動、組織化、または操作して、Curveまたはいかなるプロジェクトに対する世論攻撃を仕掛けたことは一度もないと明言しました。OneKeyは、現在のソーシャルプラットフォーム上で一部の個人が拡散した悪意のある非難や虚偽の発言に対して法的責任を追及し、容認しません。また、創業者のYishi氏は、完全に個人の資格で投資に参加しており、これは彼の個人的な行動です。OneKeyの公式リソースは、このプロジェクトに一切関与していません。同時に、OneKey製品はすべてオープンソース設計で、バックドアはなく、SlowMistなどの専門セキュリティチームによる徹底的な監査を受けています。

30日、OneKey創設者のYishi氏はCurve Financeにブロックされたスクリーンショットを投稿し、「卒業」というキャプションを付けた。

補給事件の検証:ハッカーが暴走、ユーザーは穴埋めを強いられる、セキュリティインシデントが人種差別スキャンダルに発展

結論:危機後に残るのは合意ではなく亀裂だ

Resupply 事件はハッカー攻撃から始まり、最終的にはガバナンス責任、コミュニティのコミュニケーション、人種差別、ブランド倫理をめぐる包括的な危機に発展しました。

DeFiが攻撃を受けるのは今回が初めてではなく、またこれが最後でもないだろう。しかし、ハッカーからの対応やプロジェクトからの謝罪もなく、コミュニティが「損失負担者」の立場に追い込まれるのは、おそらく初めてだろう。

DeFiの世界では、信頼の基盤はホワイトペーパーや監査報告書ではなく、プロジェクト関係者の「インシデント発生後の初動対応」にあります。ガバナンス提案はプロトコルを修復できるかもしれませんが、分裂したコミュニティを修復することはできません。プロトコルは依然として稼働していますが、信頼は失われ、二度と回復することはありません。

オリジナル記事、著者:叮当。転載/コンテンツ連携/記事探しはご連絡ください report@odaily.email;法に違反して転載するには必ず追究しなければならない

ODAILYは、多くの読者が正しい貨幣観念と投資理念を確立し、ブロックチェーンを理性的に見て、リスク意識を確実に高めてください、発見された違法犯罪の手がかりについては、積極的に関係部門に通報することができる。

おすすめの読み物
編集者の選択