Resupplyが脆弱性により960万ドルを盗難、ユーザーに損失を負担させる?
TechFlow厳選深潮セレクト
Resupplyが脆弱性により960万ドルを盗難、ユーザーに損失を負担させる?
YishiがResupplyを公開批判:これは黒鳥事件ではなく、人災であり、開発レベルの重大な怠慢だ。
Web3業界の深掘り報道に専念し潮流を洞察執筆:1912212.eth、Foresight News
近年、DeFi分野の急速な発展は数多くの投資家や開発者を惹きつけてきたが、高リスク・高リターンという性質から、度々大きな問題も引き起こしている。特に繰り返し発生するハッカーによる資金盗難事件は、多数のチェーン上での資産運用や裁定取引を行うユーザーにとって深刻な悩みの種となっている。6月27日、DeFiプロトコルResupplyが重大なセキュリティ脆弱性により960万ドル相当の資金を盗まれる事件が発生した。この出来事は、OneKey創業者の王一石(Yishi Wang)氏が立ち上げたクレーム活動によってコミュニティ内で広く知られるようになった。
Yishi氏はResupplyの主要投資家の一人として、プロジェクト側の過失を公開で批判し、関係者に責任を取るよう呼びかけた。その行動はコミュニティ内での活発な議論を巻き起こし、Curve創業者のMichael Egorov氏との激しい論争へと発展した。
契約バグによりユーザー資金が完全に消失
Resupplyは新興のDeFiプロトコルであり、革新的な流動性管理および収益戦略を通じてユーザーと投資家を惹きつけようとしていた。DeFiプロトコルは通常、スマートコントラクトを利用して資金プールの自動化管理を実現し、ユーザーが暗号資産を預けることでリターンを得られる仕組みになっている。しかし、こうしたプロトコルの複雑さやコード上のバグは、しばしばハッカーの標的となる。Resupplyはローンチ以降、高いリターンの約束とCurve、Convex、Yearnといった有名DeFiプロジェクトとの連携により、短期間で大量の資金と注目を集めた。事件発生前には数億ドル規模の資産を管理していた。
暗号財布企業OneKeyの創業者である王一石氏は、Resupplyのトップ3投資家に入っていた。彼がX上で公表した声明によると、個人としてResupplyに数百万ドルを投資しており、今回の攻撃は重大な経済的損失だけでなく、大きな心理的ストレスももたらしたという。
Yishi氏の分析によれば、事件の根本原因は、Resupplyチームが新しいファンドプール(vault)を展開する際に初期シェアの破棄を行わず、「インフレ型ミンティングバグ」を引き起こしたERC-4626標準のスマートコントラクトに起因している。この脆弱性により、攻撃者はゼロコストで無限にトークンを鋳造でき、結果としてプール内のすべての資産を奪い去ることができた。
Yishi氏は次のようにコメントしている。「これはブラックスワンではない。人災であり、開発レベルでの重大な怠慢だ。」彼は、このバグが外部のハッカーが高度な技術を使って悪用したものではなく、チーム自身が基礎的なコード展開において犯した初歩的なミスだと指摘した。このようなミスは、一度悪用されると修正不能なスマートコントラクトの性質上、DeFi分野では特に致命的である。
沈黙、発言禁止、そして投資家への損失転嫁の試み
ブロックチェーン上のハッキング事件は常に発生しており、過去数年間でも複数のパブリックチェーン、DeFi、取引所がハッキング被害に遭ってきた。こうした場合、公式チームは通常迅速に対応し、直ちにハッカーに対してメッセージを発信することが多い。しかしResupplyチームの対応は理解しがたいものだった。ハッカーに対して沈黙を守ったばかりか、「現時点まで技術的トレースやホワイトハット賞金プログラムの準備さえ行っていない」という。
Yishi氏によると、チームはすぐに調査や通報を行わず、むしろ保険プールを利用して投資家の損失を肩代わりさせようとした。さらに公式Discordサーバー内で疑問を呈したユーザーの発言を遮断した。主要投資家であるYishi氏が正当な疑義を提起したにもかかわらず、予告なくミュート処分を受け、「衝撃かつ怒りを感じた」と語っている。
最新の提案では、プロジェクト側が保険プールを通じて不良債権を負担するとされている
Resupplyチームの不作為と異論抑圧の姿勢に直面し、Yishi氏はXプラットフォーム上で公開クレームを開始した。彼は長文投稿を通じて事件の来歴を詳細に明らかにし、Resupplyチームの責任放棄を名指しで批判した。彼は、保険プールの設計目的は予測不能なブラックスワン事象への備えであって、開発チームの初歩的なミスを補填するためではないと強調した。そして問いかけた。「もし開発ミスさえユーザーが支払うなら、それは富を奪って貧困層に分配する偽の保険にすぎないだろうか?」
Yishi氏のクレーム活動は、Resupplyチームのみならず、同プロジェクトと協力関係にあるCurve、Convex、Yearnなどの著名DeFiプロトコルにも拡大した。彼は、これらのプロジェクトがResupplyに流動性支援や推薦を行い、露出と利益を得ていた以上、事件後も傍観すべきではないと指摘した。特に、Resupplyの資金プール内で重要な役割を果たしていたCurveのステーブルコインcrvUSDに関してはなおさらである。Yishi氏は、こうしたプロジェクトの開発者と財務部門が共同で賠償責任を負い、投資家の損失を補填すべきだと訴えた。
公開情報によると、近年これら関連プロトコルでは平均年間約1000万ドルの資金が盗まれており、内部犯行に対する疑念もコミュニティ内で高まっている。
-
2021年:Yearn Finance 約1100万ドル —— 契約のビジネスロジックにバグがあり、攻撃者が十分に保護されていない流動性を利用し、フラッシュローン攻撃で資金プールを操作して裁定取引を実行。
-
2023年3月:Yearn Finance 約140万ドル —— Euler Financeのハッキング影響を受け、資金的関連性により間接的に損害を被ったが、自体の契約には脆弱性なし。
-
2023年4月13日:Yearn Finance 約1160万ドル —— 初期のiearn yUSDT契約設定ミスにより、USDTではなくUSDCの資産プールを参照してしまい、攻撃者がこのバグを悪用して巨量のyUSDTを鋳造し換金。
-
2024年3月28日:Prisma Finance 約1000万ドル —— 契約に権限管理およびビジネスロジックのバグがあり、攻撃者が悪意あるコントラクトをデプロイし、複数の操作を通じて資金を盗難。関数権限およびコントラクト呼び出しの欠陥が利用された。
-
2025年6月26日:Convex Finance(Resupply子DAO) 約1000万ドル —— Resupply子DAOの契約にビジネスロジックのバグがあり、攻撃者がコントラクトの欠陥を利用して資金を違法に移転。具体的にはコントラクト権限または資金流れの検証不足が原因。
また、Yishi氏はResupplyチームのコミュニケーション姿勢にも批判を向けた。チームは透明性に欠けるだけでなく、異議を唱える投資家に対して皮肉や封鎖を行うなど、コミュニティの信頼を大きく裏切るものだと述べた。彼は、Resupplyが公平な解決策を策定し、技術的ミスによって生じた損失をユーザーに返還すべきだと訴えた。
まもなくYishi氏は匿名人物からのDM攻撃を受け、「ching chong」という差別的意味合いを持つ模倣語を送られ、華語圏コミュニティ全体の強い不満を招いた。
対立激化:Curve創業者との衝突
Yishi氏の公開クレームは、すぐにCurve創業者Michael Egorov氏との直接的な対立へと発展した。これ以前、Curve Finance公式は本件のセキュリティ事故について声明を発表しており、「ResupplyはCurve開発者によって開発されたものではないが、Resupplyの創設者は能力が高く経験豊富であり、彼らが全力でこの問題を解決すると信じている」と述べていた。
しかし事態はそこで終結しなかった。
Yishi氏によると、Michael氏は非公式に彼に対して「お前の発言はCurveの評判を傷つけている」として提訴をほのめかしたという。この情報はX上でコミュニティの激しい議論を呼び、多くの人々が、CurveはResupplyのパートナーである以上、一部の責任を負うべきであり、批判を法律で抑圧しようとするのは不当だと考えた。
Yishi氏はX上で反論し、「Michaelが俺を『Curveの評判を毀損した』として提訴すると?一体どういうことだ?正直者が虐げられて当然なのか?」と述べた。彼はMichael氏が事件調整に尽力してくれたことに敬意を示す一方で、責任追及を諦めるつもりはないとも強調した。
事態が進展する中、一部のユーザーはYishi氏の個人的なクレーム活動をOneKeyブランドと結びつけ、OneKeyが「世論攻撃を組織している」と非難するまでになった。こうした非難に対し、OneKeyは6月29日にX上で厳重声明を発表し、同社はいかなる世論攻撃にも関与せず、Yishi氏の行動は個人的な投資活動に過ぎず、OneKeyの業務とは無関係であることを明確にした。
まとめ
Resupply事件は、Yishi氏の個人的クレームの縮図であると同時に、DeFi業界が急成長の中で露呈した多くの課題を浮き彫りにしている。まず第一に、スマートコントラクトの安全性は依然としてDeFiプロジェクトの核心的課題である。Resupplyのバグは初歩的に見えるが、同様の事件はDeFi分野では珍しくない。2024年だけで、ハッキングや詐欺による暗号資産の損失は22億ドルを超え、業界全体のセキュリティ基準向上の緊急性が際立っている。
第二に、Resupplyチームの対応は、DeFiプロジェクトにおける危機管理の未熟さを露呈した。透明性の欠如、異論の抑圧、責任転嫁といった行為は、投資家の信頼を損ねるだけでなく、プロジェクトの長期的発展に壊滅的な打撃を与える可能性がある。Yishi氏のクレーム活動は、コミュニティにこうした教訓を思い出させた:投資家は技術的ミスに対してプロジェクト側に責任を求める権利を持ち、損失をユーザーに押し付けるべきではない。
また、本件はDeFiエコシステム内でのパートナー責任に関する議論をも引き起こした。CurveやConvexといったプロジェクトがResupplyとの協力関係ゆえに論争に巻き込まれたことは、DeFiプロジェクトの相互接続性が強みであると同時に、リスクを拡大させる要因にもなり得ることを示している。今後、エコシステムの協働の中で責任の所在をどう明確にするかは、DeFi業界が解決しなければならない重要なテーマとなるだろう。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
Foresight News
