Resupply bị đánh cắp 9,6 triệu USD do lỗ hổng bảo mật, lại bắt người dùng chịu thiệt?
Tuyển chọn TechFlowTuyển chọn TechFlow
Resupply bị đánh cắp 9,6 triệu USD do lỗ hổng bảo mật, lại bắt người dùng chịu thiệt?
Yishi công khai chỉ trích Resupply: Đây không phải là sự kiện thiên nga đen, mà là tai họa do con người gây ra, là sự tắc trách nghiêm trọng ở cấp độ phát triển.
Chuyên sâu báo cáo Web3Bài viết: 1912212.eth, Foresight News
Những năm gần đây, sự phát triển nhanh chóng của lĩnh vực DeFi đã thu hút vô số nhà đầu tư và nhà phát triển, tuy nhiên đặc tính vừa rủi ro cao vừa lợi nhuận cao cũng liên tục gây ra không ít vấn đề, ví dụ như các vụ tấn công hacker lấy cắp tiền thường xuyên xảy ra khiến nhiều người tham gia tài chính trên chuỗi và kiếm lời chênh lệch cảm thấy lo lắng. Ngày 27 tháng 6, giao thức DeFi Resupply do một lỗ hổng bảo mật nghiêm trọng dẫn đến việc mất cắp 9,6 triệu USD, sự việc này trở nên nổi tiếng trong cộng đồng nhờ hành động đòi quyền lợi của Vương Nhất Thạch (Yishi Wang), người sáng lập OneKey.
Yishi, là một trong những nhà đầu tư chính của Resupply, đã công khai chỉ trích sai sót của đội dự án và kêu gọi các bên liên quan chịu trách nhiệm; hành động của ông đã gây ra tranh luận rộng rãi trong cộng đồng, thậm chí còn có cuộc đối đầu gay gắt với Michael Egorov, người sáng lập Curve.
Lỗ hổng hợp đồng khiến toàn bộ tiền người dùng bị cướp sạch
Resupply là một giao thức DeFi mới nổi, nhằm thu hút người dùng và nhà đầu tư thông qua quản lý thanh khoản sáng tạo và chiến lược sinh lời. Các giao thức DeFi thường sử dụng hợp đồng thông minh để tự động hóa việc quản lý các bể thanh khoản, cho phép người dùng gửi tài sản mã hóa vào để nhận lợi nhuận. Tuy nhiên, độ phức tạp và các lỗi mã nguồn của các giao thức này thường trở thành mục tiêu tấn công của hacker. Kể từ khi ra mắt, Resupply đã nhanh chóng thu hút lượng lớn vốn và sự chú ý nhờ cam kết lợi suất cao cùng hợp tác với các dự án DeFi nổi bật như Curve, Convex, Yearn, trước thời điểm bị tấn công đang quản lý hàng trăm triệu USD tài sản.
Vương Nhất Thạch, người sáng lập công ty ví mã hóa OneKey, là một trong ba nhà đầu tư lớn nhất của Resupply. Theo tuyên bố công khai trên X của ông, cá nhân ông đã đầu tư hàng triệu USD vào Resupply. Vụ tấn công lần này không chỉ gây tổn thất kinh tế nghiêm trọng mà còn tạo áp lực tâm lý rất lớn.
Theo phân tích của Yishi, nguyên nhân gốc rễ là đội ngũ Resupply đã không hủy bỏ phần chia ban đầu khi triển khai bể tiền mới (vault), dẫn đến xuất hiện “lỗ hổng đúc tiền gây lạm phát” trong chuẩn ERC-4626 của hợp đồng thông minh. Lỗ hổng này cho phép kẻ tấn công đúc vô hạn lượng token với chi phí bằng 0, từ đó rút sạch tài sản trong bể thanh khoản.
Yishi bình luận: “Đây không phải sự kiện thiên nga đen, mà là tai họa do con người gây ra, là sự thiếu sót nghiêm trọng ở cấp độ phát triển.” Ông nhấn mạnh rằng lỗ hổng này không phải do hacker sử dụng kỹ thuật phức tạp bên ngoài, mà là một sai lầm cơ bản trong quá trình triển khai mã nguồn cơ sở của đội ngũ. Sai lầm kiểu này trong lĩnh vực DeFi đặc biệt chết người, bởi tính chất bất biến của hợp đồng thông minh có nghĩa là một khi lỗ hổng bị khai thác thì tổn thất gần như không thể cứu vãn.
Im lặng, cấm ngôn và cố gắng đẩy tổn thất cho nhà đầu tư gánh chịu
Các vụ tấn công hacker trong blockchain diễn ra mọi lúc, trong vài năm qua nhiều blockchain công cộng, DeFi, sàn giao dịch đều từng trải qua những khoảnh khắc kinh hoàng bị tấn công. Chúng ta thấy rằng, đội ngũ chính thức thường lên tiếng kịp thời, thậm chí ngay lập tức nói chuyện trực tiếp với hacker. Tuy nhiên cách xử lý của đội ngũ Resupply lại khó hiểu. Họ không chỉ im lặng trước kẻ tấn công, mà "đến nay vẫn chưa thực hiện bất kỳ công việc nào về truy vết kỹ thuật hay thưởng mũ trắng".
Yishi tiết lộ, đội ngũ không lập tức điều tra hay báo cảnh sát, mà lại cố gắng sử dụng quỹ bảo hiểm để buộc nhà đầu tư gánh chịu tổn thất, đồng thời khóa tài khoản của những người đặt câu hỏi trong máy chủ Discord chính thức. Ngay cả Yishi – nhà đầu tư chính – sau khi đưa ra nghi vấn hợp lý, bất ngờ bị cấm ngôn mà không được báo trước, hành vi này khiến ông cảm thấy “sốc và tức giận”.
Đề xuất mới nhất cho thấy, đội dự án sẽ dùng quỹ bảo hiểm để gánh nợ xấu
Trước thái độ bất lực và đàn áp phản biện của đội Resupply, Yishi chọn cách công khai đòi quyền lợi trên nền tảng X. Ông đăng bài dài, tiết lộ chi tiết nguyên nhân và hậu quả của sự việc, đồng thời chỉ đích danh phê phán hành vi thiếu trách nhiệm của đội Resupply. Ông nhấn mạnh thiết kế quỹ bảo hiểm là để ứng phó với các sự kiện thiên nga đen không thể đoán trước, chứ không phải để bù đắp cho sai sót cơ bản của đội phát triển. Ông đặt câu hỏi: “Nếu lỗi phát triển đều có thể bắt người dùng trả tiền, vậy thì cái gọi là bảo hiểm này thực chất chỉ là cướp người giàu nuôi người nghèo.”
Hành động đòi quyền lợi của Yishi không chỉ nhắm vào đội ngũ Resupply, mà còn mở rộng sang các giao thức DeFi nổi tiếng hợp tác với dự án này như Curve, Convex và Yearn. Ông chỉ ra rằng các dự án này đã thu được sự chú ý và lợi nhuận nhờ hỗ trợ thanh khoản và bảo chứng cho Resupply, do đó sau sự việc xảy ra không nên đứng ngoài cuộc. Đặc biệt là Curve, stablecoin crvUSD của nó đóng vai trò quan trọng trong các bể thanh khoản của Resupply. Yishi kêu gọi các nhà phát triển và kho bạc của các dự án này cùng chịu trách nhiệm bồi thường để bù đắp tổn thất cho nhà đầu tư.
Theo thông tin công khai, trong những năm gần đây, các giao thức liên quan trung bình mỗi năm bị mất cắp khoảng 10 triệu USD, điều này cũng làm dấy lên nghi ngờ trong cộng đồng về việc “tự ăn trộm chính mình”.
-
Năm 2021, Yearn Finance mất khoảng 11 triệu USD do lỗ hổng logic nghiệp vụ hợp đồng, kẻ tấn công tận dụng tính thanh khoản của giao thức chưa được bảo vệ đầy đủ để thực hiện tấn công vay chớp nhoáng, thao túng bể thanh khoản nhằm kiếm lời.
-
Tháng 3 năm 2023, Yearn Finance mất khoảng 1,4 triệu USD do ảnh hưởng từ vụ hack của Euler Finance, Yearn Finance có liên hệ tài chính với dự án này nên bị thiệt hại gián tiếp, bản thân hợp đồng không có lỗ hổng.
-
Ngày 13 tháng 4 năm 2023, Yearn Finance mất khoảng 11,6 triệu USD do cấu hình sai hợp đồng iearn yUSDT thời kỳ đầu, hợp đồng trỏ tới bể tài sản sai (USDC thay vì USDT), kẻ tấn công tận dụng lỗ hổng cấu hình này, đúc một lượng lớn yUSDT rồi bán tháo.
-
Ngày 28 tháng 3 năm 2024, Prisma Finance mất khoảng 10 triệu USD do hợp đồng có lỗ hổng quản lý quyền hạn và logic nghiệp vụ, kẻ tấn công triển khai hợp đồng độc hại, đánh cắp tiền qua nhiều thao tác, thủ đoạn liên quan đến vấn đề quyền hàm và lỗi gọi hợp đồng.
-
Ngày 26 tháng 6 năm 2025, Convex Finance (sub-DAO của Resupply) mất khoảng 10 triệu USD do lỗ hổng logic nghiệp vụ trong hợp đồng sub-DAO của Resupply, kẻ tấn công lợi dụng khiếm khuyết hợp đồng để chuyển tiền trái phép, cụ thể là quyền hạn hợp đồng hoặc kiểm tra luồng tiền không đủ.
Bên cạnh đó, Yishi còn chỉ trích thái độ giao tiếp của đội ngũ Resupply. Ông cho biết đội ngũ không chỉ thiếu minh bạch, mà thậm chí còn chế giễu và cấm ngôn các nhà đầu tư phản đối, hành vi này là sự phản bội nghiêm trọng đối với niềm tin cộng đồng. Ông kêu gọi Resupply xây dựng giải pháp công bằng, hoàn trả lại tổn thất do lỗi kỹ thuật cho người dùng.
Không lâu sau, Yishi bị một số cá nhân ẩn danh tấn công riêng tư, gửi các từ ngữ mô phỏng mang tính phân biệt chủng tộc “ching chong”, từng gây bất bình rộng rãi trong cộng đồng người Hoa.
Mâu thuẫn leo thang: Cuộc đối đầu với người sáng lập Curve
Việc Yishi công khai đòi quyền lợi nhanh chóng dẫn đến xung đột trực tiếp với Michael Egorov, người sáng lập Curve. Trước đó, Curve Finance đã ra tuyên bố chính thức về sự cố an ninh này: “Mặc dù Resupply không phải do các nhà phát triển Curve xây dựng, nhưng người sáng lập Resupply là những người có năng lực xuất sắc, giàu kinh nghiệm, chúng tôi tin rằng họ sẽ nỗ lực hết mình để giải quyết vấn đề này.”
Tuy nhiên, sự việc không dừng lại ở đó.
Theo Yishi tiết lộ, Michael từng liên hệ riêng nói sẽ kiện ông, lý do là các phát biểu của ông “làm tổn hại danh tiếng của Curve”. Thông tin này đã gây tranh luận sôi nổi trong cộng đồng trên nền tảng X, nhiều người cho rằng Curve với tư cách là đối tác của Resupply, lẽ ra phải chịu một phần trách nhiệm, chứ không nên dùng đe dọa pháp lý để dập tắt chỉ trích.
Yishi đáp lại trên X: “Michael nói sẽ kiện tôi vì xúc phạm danh tiếng của Curve. Xin hỏi đây là hành vi gì? Người老實 cứ phải bị bắt nạt sao?” Ông bày tỏ, dù kính trọng những nỗ lực hòa giải của Michael, nhưng ông sẽ không từ bỏ việc truy cứu trách nhiệm vì điều đó.
Khi sự việc lan rộng, một số người dùng bắt đầu gắn hành động đòi quyền lợi cá nhân của Yishi với thương hiệu OneKey, thậm chí cáo buộc OneKey “tổ chức tấn công dư luận” chống lại Resupply. Trước những cáo buộc này, OneKey đã đăng tuyên bố nghiêm khắc trên nền tảng X ngày 29 tháng 6, làm rõ công ty chưa từng tham gia hay điều khiển bất kỳ cuộc tấn công dư luận nào, hành động đòi quyền lợi của Yishi là hoạt động đầu tư cá nhân, không liên quan đến hoạt động kinh doanh của OneKey.
Tổng kết
Sự việc Resupply không chỉ là hình ảnh thu nhỏ về việc cá nhân Yishi đòi quyền lợi, mà còn phản ánh nhiều vấn đề bộc lộ trong ngành DeFi khi phát triển nhanh chóng. Thứ nhất, an ninh hợp đồng thông minh vẫn là thách thức cốt lõi đối với các dự án DeFi. Dù lỗ hổng của Resupply có vẻ đơn giản, nhưng các sự kiện tương tự trong lĩnh vực DeFi không hiếm gặp. Năm 2024, toàn cầu đã mất hơn 2,2 tỷ USD tiền mã hóa do tấn công hacker và lừa đảo, nổi bật nhu cầu cấp bách nâng cao tiêu chuẩn an toàn ngành.
Thứ hai, cách xử lý của đội ngũ Resupply bộc lộ sự thiếu sót trong quản lý khủng hoảng của các dự án DeFi. Hành vi thiếu minh bạch, đàn áp phản biện, đổ lỗi... không chỉ làm tổn hại niềm tin nhà đầu tư, mà còn có thể gây tổn hại hủy diệt cho sự phát triển lâu dài của dự án. Hành động đòi quyền lợi của Yishi nhắc nhở cộng đồng rằng, nhà đầu tư có quyền yêu cầu đội dự án chịu trách nhiệm về lỗi kỹ thuật, chứ không phải đẩy tổn thất sang người dùng.
Sự việc cũng khơi mào cuộc thảo luận về trách nhiệm của các đối tác trong hệ sinh thái DeFi. Các dự án như Curve, Convex bị cuốn vào tranh cãi do hợp tác với Resupply, điều này cho thấy tính liên kết của các dự án DeFi vừa là ưu thế, cũng có thể trở thành bộ khuếch đại rủi ro. Trong tương lai, làm thế nào để xác định rõ trách nhiệm trong hợp tác hệ sinh thái sẽ là chủ đề quan trọng mà ngành DeFi cần giải quyết.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
Foresight News
