Resupply victime d'un piratage exploitant une vulnérabilité, 9,6 millions de dollars dérobés, et ce sont les utilisateurs qui doivent payer ?
TechFlow SélectionTechFlow Sélection
Resupply victime d'un piratage exploitant une vulnérabilité, 9,6 millions de dollars dérobés, et ce sont les utilisateurs qui doivent payer ?
Yishi s'oppose violemment à Resupply : ce n'est pas un événement cygne noir, c'est une catastrophe humaine, une négligence grave au niveau du développement.
Dédié à des analyses Web3 approfondiesRédaction : 1912212.eth, Foresight News
Le domaine DeFi a connu ces dernières années un développement fulgurant, attirant de nombreux investisseurs et développeurs. Cependant, son caractère à la fois risqué et potentiellement lucratif soulève régulièrement des problèmes majeurs, notamment les fréquentes attaques de hackers visant à voler des fonds, qui inquiètent de nombreux utilisateurs pratiquant le yield farming ou l’arbitrage sur chaîne. Le 27 juin, le protocole DeFi Resupply a perdu 9,6 millions de dollars en raison d'une vulnérabilité critique de sécurité, un incident rendu public grâce à une campagne de revendication menée par Wang Yishi (Yishi Wang), fondateur de OneKey, ce qui a fortement marqué la communauté.
Yishi, l'un des principaux investisseurs de Resupply, a publiquement critiqué les erreurs de l'équipe du projet et appelé les parties concernées à assumer leurs responsabilités. Son action a suscité de vifs débats au sein de la communauté, allant jusqu’à une vive altercation avec Michael Egorov, fondateur de Curve.
Une faille contractuelle vide les fonds des utilisateurs
Resupply est un protocole DeFi émergent, conçu pour attirer utilisateurs et investisseurs via une gestion innovante de liquidités et des stratégies de rendement. Comme souvent dans le secteur DeFi, ce protocole utilise des contrats intelligents pour automatiser la gestion de pools de liquidité, permettant aux utilisateurs de déposer des actifs numériques afin de générer des revenus. Toutefois, la complexité de ces protocoles ainsi que les failles de code constituent fréquemment des cibles privilégiées pour les pirates informatiques. Depuis son lancement, Resupply a rapidement attiré d'importants flux financiers et une large attention grâce à ses promesses de hauts rendements et à ses partenariats avec des projets DeFi renommés tels que Curve, Convex et Yearn. Avant cet incident, il gérait plusieurs centaines de millions de dollars d’actifs.
Wang Yishi, fondateur de la société de portefeuilles cryptographiques OneKey, était l’un des trois principaux investisseurs de Resupply. Selon sa déclaration publique sur X, il a personnellement investi plusieurs millions de dollars dans Resupply. Cette attaque lui a non seulement causé de lourdes pertes économiques, mais aussi un stress psychologique considérable.
D’après l’analyse de Yishi, la cause fondamentale de l’incident réside dans le fait que l’équipe de Resupply n’a pas brûlé les parts initiales lors du déploiement d’un nouveau vault, entraînant une « vulnérabilité d’émission inflationniste » dans le standard ERC-4626 du contrat intelligent. Cette faille permettait à un attaquant de frapper un nombre illimité de jetons sans coût, puis de siphonner tous les actifs présents dans le pool.
Yishi a commenté : « Ce n’est pas un événement type cygne noir, c’est un désastre humain, une négligence grave au niveau du développement. » Il insiste sur le fait que cette vulnérabilité n’a pas été exploitée par un pirate utilisant des techniques sophistiquées, mais résulte d’une erreur élémentaire dans le déploiement du code de base par l’équipe elle-même. Une telle erreur est particulièrement fatale dans l’univers DeFi, car l’immuabilité des contrats intelligents signifie qu’une fois la faille exploitée, les pertes sont quasi irrécupérables.
Silence, censure, et tentative de faire supporter les pertes aux investisseurs
Les piratages dans la blockchain se produisent continuellement. Ces dernières années, de nombreuses blockchains, protocoles DeFi ou exchanges ont subi des attaques spectaculaires. On constate généralement que les équipes officielles réagissent promptement et appellent directement les hackers. Pourtant, la manière dont l’équipe de Resupply a géré cet incident est incompréhensible : non seulement elle est restée silencieuse face aux attaquants, mais elle n’a entrepris aucune analyse technique ni programme de bounty pour les white hats – et ce, même à ce jour.
Yishi a révélé que l’équipe n’avait pas lancé d’enquête ni porté plainte, mais avait plutôt tenté de faire absorber les pertes par les investisseurs via un pool d’assurance, tout en censurant les voix critiques sur leur serveur Discord officiel. Lui-même, en tant que principal investisseur, a été banni sans préavis après avoir posé des questions légitimes, ce qui l’a profondément choqué et mis en colère.
La dernière proposition indique que le projet utilisera le pool d’assurance pour couvrir les créances irrécouvrables
Faisant face à l’inaction de l’équipe de Resupply et à sa politique de répression des dissidents, Yishi a décidé de mener une campagne de revendication publique sur X. Il a publié un long texte détaillant les causes et conséquences de l’incident, critiquant nommément le manque de responsabilité de l’équipe. Il a insisté sur le fait que le mécanisme d’assurance est destiné à couvrir des événements imprévisibles comme les cygnes noirs, et non à pallier des erreurs techniques basiques commises par les développeurs. Il s’est exclamé : « Si les erreurs de développement peuvent être payées par les utilisateurs, alors ce soi-disant système d’assurance n’est rien d’autre qu’un vol organisé au profit des moins riches. »
La démarche de Yishi ne s’est pas limitée à critiquer Resupply, mais s’est étendue aux grands protocoles DeFi partenaires du projet, tels que Curve, Convex et Yearn. Il a souligné que ces projets avaient bénéficié de visibilité et de revenus grâce à leur soutien et à leur caution apportés à Resupply, et qu’ils ne pouvaient donc pas rester passifs après l’incident. En particulier, le stablecoin crvUSD de Curve jouait un rôle central dans les vaults de Resupply. Yishi a appelé les développeurs et les trésoreries de ces projets à assumer conjointement une responsabilité compensatoire afin de rembourser les pertes des investisseurs.
Selon des données publiques, les protocoles associés ont vu en moyenne 10 millions de dollars volés chaque année ces dernières années, ce qui alimente des soupçons quant à une possible complicité interne.
-
2021 – Yearn Finance : environ 11 millions de dollars perdus. Attaque par prêt flash exploitant une faille logique dans le contrat, où les liquidités mal protégées ont été manipulées pour réaliser un arbitrage frauduleux.
-
Mars 2023 – Yearn Finance : environ 1,4 million de dollars perdus. Perte indirecte liée au piratage d’Euler Finance, avec lequel Yearn entretenait des liens financiers. Aucune faille dans ses propres contrats.
-
13 avril 2023 – Yearn Finance : environ 11,6 millions de dollars perdus. Erreur de configuration dans un ancien contrat iearn yUSDT, pointant vers un mauvais pool d’actifs (USDC au lieu de USDT). Un attaquant a exploité cette erreur pour frapper massivement des yUSDT avant de les liquider.
-
28 mars 2024 – Prisma Finance : environ 10 millions de dollars volés. Faille dans la gestion des permissions et la logique métier du contrat. Un attaquant a déployé un contrat malveillant et effectué plusieurs opérations détournant des fonds, exploitant des défauts d’autorisation et d’appel de contrat.
-
26 juin 2025 – Convex Finance (sous-DAO de Resupply) : environ 10 millions de dollars volés. Faille logique dans le contrat du sous-DAO de Resupply, permettant à un attaquant de transférer illégalement des fonds, due à une vérification insuffisante des autorisations ou des flux de capitaux.
Par ailleurs, Yishi a critiqué l’attitude de communication de l’équipe de Resupply. Selon lui, celle-ci manque totalement de transparence et va jusqu’à ridiculiser et bannir les investisseurs qui osent contester. Un tel comportement constitue selon lui une trahison grave de la confiance communautaire. Il appelle Resupply à proposer une solution juste et à restituer aux utilisateurs les pertes causées par des erreurs techniques.
Peu après, Yishi a reçu des messages privés d’un individu anonyme utilisant le terme discriminatoire « ching chong », provoquant une vive indignation au sein de la communauté sinophone.
Escalade du conflit : l’affrontement avec le fondateur de Curve
La campagne publique de Yishi a rapidement déclenché un conflit direct avec Michael Egorov, fondateur de Curve. Initialement, Curve Finance avait publié une déclaration officielle sur cet incident de sécurité : « Bien que Resupply n’ait pas été développé par les équipes de Curve, ses créateurs sont compétents et expérimentés, et nous croyons qu’ils feront tout leur possible pour résoudre ce problème. »
Toutefois, l’affaire ne s’est pas arrêtée là.
Yishi a révélé que Michael l’avait contacté en privé pour menacer de poursuites judiciaires, arguant que ses déclarations « ternissaient la réputation de Curve ». Cette information a provoqué une vive controverse sur X, beaucoup estimant que Curve, en tant que partenaire de Resupply, devrait assumer une part de responsabilité plutôt que d’utiliser des menaces juridiques pour museler la critique.
Yishi a répondu publiquement sur X : « Michael dit vouloir me poursuivre pour diffamation contre Curve. Mais quel genre de comportement est-ce donc ? Les honnêtes gens doivent-ils accepter d’être piétinés ? » Bien qu’il respecte les efforts de médiation de Michael, il affirme ne pas renoncer à exiger des comptes.
Au fur et à mesure que l’affaire prenait de l’ampleur, certains utilisateurs ont commencé à associer l’action individuelle de Yishi à la marque OneKey, allant jusqu’à accuser OneKey d’« organiser une campagne médiatique » contre Resupply. Face à ces accusations, OneKey a publié un communiqué ferme sur X le 29 juin, précisant que l’entreprise n’avait jamais participé ni orchestré aucune campagne médiatique, et que l’action de Yishi relevait strictement de son statut d’investisseur privé, sans lien avec les activités commerciales de OneKey.
Conclusion
L’affaire Resupply incarne non seulement la lutte individuelle de Yishi, mais reflète également de nombreux problèmes structurels exposés par l’industrie DeFi dans sa croissance rapide. Premièrement, la sécurité des contrats intelligents reste le défi central des projets DeFi. Même si la faille de Resupply semble élémentaire, des incidents similaires sont monnaie courante dans l’écosystème DeFi. En 2024, les pertes mondiales dues aux piratages et escroqueries dans la crypto ont dépassé 2,2 milliards de dollars, soulignant l’urgence d’améliorer les standards de sécurité sectoriels.
Deuxièmement, la manière dont l’équipe de Resupply a géré la crise révèle des lacunes criantes dans la gestion des crises au sein des projets DeFi. Le manque de transparence, la répression des critiques et la tentative d’évacuation des responsabilités nuisent gravement à la confiance des investisseurs et peuvent compromettre durablement l’avenir d’un projet. L’initiative de Yishi rappelle à toute la communauté qu’il est légitime pour les investisseurs d’exiger que les équipes assument leurs erreurs techniques, plutôt que de transférer les pertes sur les utilisateurs.
Enfin, cet événement a relancé le débat sur la responsabilité des partenaires au sein de l’écosystème DeFi. Des projets comme Curve ou Convex, impliqués par leurs liens avec Resupply, illustrent combien l’interconnexion des protocoles, bien que constitutive de leur force, peut aussi amplifier les risques. À l’avenir, définir clairement les responsabilités dans les collaborations sera l’un des enjeux majeurs que l’industrie DeFi devra relever.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
Foresight News
