Resupply被盗960万美元，比漏洞更可怕的，是人性

点击蓝字

关注我们

近年来，DeFi快速发展，吸引了无数投资者与开发者。但“高收益+高风险”从来不是口号，它意味着一次又一次的真金白银的代价。

这一次，轮到了Resupply。

事件回顾

Resupply，自诩为Curve、Convex、Yearn生态的重要一环。然而，这个“光环协议”，却因新部署资金池的合约漏洞，留下了一个近乎教科书级的通胀攻击口子。

黑客几乎零成本铸造了1000万枚reUSD稳定币，全部换成ETH离场，价值约960万美元。更讽刺的是，真正把这件事推到公众面前的，不是项目方发声，而是投资者、OneKey创始人 Yishi 的公开维权。

没有警告、没有追踪黑客、没有悬赏。取而代之的，是禁言、冷嘲热讽、种族歧视私信。有人亏了几百万站出来维权，结果被项目方当成敌人。这不是漏洞，这是羞辱。

项目方甩锅

保险池的本意，是给市场的极端风险提供缓冲。可Resupply团队却试图把它变成自己的提款机，合约漏洞是他们写的，黑客攻击是他们的过错，赔偿却要用户来买单。

项目方在完全未做追责、未进行技术复盘的情况下，直接提出治理提案，动用保险池600万reUSD填坑；同时延长解锁期，缩短申诉时间。这不是补救，而是对用户的二次伤害。

早在2024年3月，Resupply前身Prisma Finance就曾被黑，损失1160万美元。那次攻击者还自称“白帽”，结果不了了之。9个月后，一套新壳上线：Resupply。

年年事故、年年换壳，早已不是偶然，这是计划。

名词解释：

• borrow：借出资产，在这里指reUSD。是resupply 协议的借出资产。

• colateral：抵押物，在这里指wstUSR。Resupply Vault 金库合约中的存款凭证。

• underlying：底层资产，在这里指crvUSD，属于Curve 协议的稳定币。整套闭环的最底层资产依赖。

• LTV：loan to value 抵押率。例如70%则为抵押100u 最多能借出70u。

Resupply玩法：

• 流动性质押：用户在Curve存入crvUSD换得LP代币cvcrvUSD，赚手续费和奖励。

• 金库质押：cvcrvUSD被存入Resupply Vault，再换出wstUSR，Vault则拿这些资产去做策略投资，期望升值。

• 借贷套现：wstUSR再被抵押，借出reUSD稳定币，用户可继续外部投资。

这里描述的是Resupply正常运行时的机制逻辑。下面我们将进入重点，分析这次协议漏洞出现在哪一环，以及攻击者如何几乎零成本盗走千万资产。

漏洞还原：

Resupply 协议的借贷合约

每次用户借款都会触发 isSolvent 修饰器，对用户账户是否符合借贷条件进行校验，尤其是其借贷比率（LTV）是否超过上限。

这个判断逻辑如下：

LTV = 借款总额 × 汇率 / 抵押物价值

默认的最大LTV（maxLTV）为85%，一旦超过就无法继续借款。而这次漏洞的核心，就是黑客成功操控了公式中的“汇率”参数 _exchangeRate，让它恒于 0 或无限接近 0，从而让LTV计算结果始终为 0，绕过了风控判断。

具体来看，_exchangeRate 的计算方式是：exchangeRate = 1e36 / price

其中 price 代表抵押物 wstUSR 的价格，来源于预言机。而这个预言机的实现方式极其简陋——它没有独立获取市场价格，只是转发了 Vault 金库里的

 _convertToAssets 函数结果。

也就是说，Vault 本身的资产数据，就是借贷合约汇率计算的全部依据。这就给了攻击者可乘之机。

黑客攻击，汇率操控流程：

1.在一个空的 Vault 金库中，直接“捐赠”大量 cvcrvUSD，使得 totalAssets 数字突然膨胀；

2.然后再以极小的额度进行一次 deposit 操作，让 shares 非零；

3.这样一来，单个 wstUSR 所代表的资产价值（即 price）就被人为抬高至极端值，导致汇率 exchangeRate = 1e36 / price 接近于0；

4.借贷合约因此判定攻击者的 LTV 远低于上限，isSolvent 始终返回 true；

5.黑客就能持续借出大量 reUSD，直到系统设定的硬性上限。

言简意赅就是：黑客往空金库（Vault）塞进很多玩具币（cvcrvUSD），再假装只放一点点，骗系统说“这张卡（shares）超值”。系统用这张卡算出来的价格（price）非常夸张，导致汇率（exchangeRate）变得很小，看起来好像一点都不欠债（LTV=0），于是黑客就一直借玩具（reUSD）借到爆。

最终，Resupply 被黑客掏空近千万美元，漏洞源头归根结底是一条错误的依赖链，整个系统被自己绕晕，成了“自己喂自己”的经典漏洞教科书。

Resupply的故事告诉我们，DeFi最大的问题不是代码的bug，更大风险，而是规则之上的人。保险池成了他们的私人金库，用户成了被动买单者，被狠狠白嫖。

连OneKey创始人这样的圈内大佬都在公开维权，却依然遭遇阻力和无视；更别说那些不知名散户投资者了，他们更难发声，更容易被压制。普通用户在这场权力游戏里，毫无还手之力，每一次黑客事件都是割裂信任的机会。

但如果项目方每次都换皮、换币、换壳继续运作，那么整个DeFi生态的信任体系，就变成了一场场“预谋好的洗牌”。今天是Resupply，明天可能就是你参与的另一个DeFi项目。

Resupply的崩盘，是对Curve的去滤镜化，也是对整个DeFi生态敲响了警钟。不要再盲目美化DeFi，那不过是遮羞布。

回顾过去几年，Curve生态里的事故项目可不止一个两个，一出事就销声匿迹，再换个皮继续圈钱。说难听点，这都已经不像是偶然，而是周期性的剧本。

反观Cetus（30分钟掏空整个池子！Cetus被盗2.3亿美元全过程揭秘），同样遭遇黑客攻击，却选择了全额赔付、道歉安抚用户。处理方式高下立判，真正有担当的团队，是不需要藏在光环背后的。一个项目的底层逻辑是技术，但真正决定它能不能走远的，是做人。做人都做不好，那做什么项目呢？

👇👇👇

也可以添加小助手微信号

如果你担心钱包安全

可以关注我们公众号

进行免费的安全检测

监测潜在风险，防止资产被盗