Eine Woche ist vergangen, seit Resupply gestohlen wurde, und am 26. Juni ereignete sich eine Sicherheitsverletzung im Stablecoin "wstUSR Market" des DeFi-Protokolls Resupply, die zum Verlust von etwa 9,6 Millionen US-Dollar an Krypto-Assets führte. "Am Fluss spazieren, wie kannst du deine Schuhe nicht nass machen", Der DeFi OG-Spieler 3D postete drei Tage hintereinander ein Video zum Schutz der Rechte auf seinem Youtube-Kanal, und BlockBeats kontaktierte 3D, um mit ihm über eine Reihe von Bewertungen nach dem Diebstahl als Zeuge des Verlusts aus erster Hand zu sprechen.

3D ist einer der ersten Benutzer, der sich am Mining dieses Protokolls beteiligt hat, und er ist sowohl ein Mining-Spieler als auch ein Content-Ersteller. In diesem Interview haben wir seine Zweifel, Emotionen und einige unausgesprochene Regeln in der Branche gehört, über die er nicht sprechen möchte. Er sprach über das "Default Endorsement" von Curve, die reaktive Reaktion des Projekts auf Hacker und den Prozess, wie die Community blockiert und gedemütigt wird, wenn sie ihre Rechte verteidigt.

Verglichen mit dem Geldverlust in der 3D-Erzählung war das, was ihn erschütterte, das erschütterte Vertrauen in die Branche. Er gibt zu, dass er zwar nicht am meisten verloren hat, aber derjenige ist, der am meisten wütend ist - nicht wegen des Geldes, sondern wegen des missachteten und gedemütigten Benutzerstatus. Seine Erfahrung spiegelt das gemeinsame Dilemma unzähliger DeFi-Teilnehmer wider - unklare Rechte und Pflichten, keine Möglichkeit, Rechte zu verteidigen, und wiederholte Zugeständnisse an die moralische Grundlinie.

Hier ist das vollständige Gespräch:

BlockBeats: Bitte geben Sie 3D eine kurze Einführung.

3D: Der Name, den ich im Netzwerk verwende, ist 3D, und meine Hauptaufgabe ist im Moment mein eigenes Mining, ich bin seit der ICO-Runde 2017 im Kreis, aber ich habe mich ab dem DeFi-Sommer 2020 wirklich auf DeFi und Arbitrage konzentriert, und ich betreibe auch einen Youtube-Kanal, der sich auf DeFi-Arbitrage konzentriert - 3D Crypto Channel.

BlockBeats: Wie viel Geld wurde bisher kompromittiert? Wie ist das Ausmaß des tatsächlichen Schadens zu schätzen bzw. zu messen?

3D: Der Gesamtbetrag, der im Moment zu sehen ist, entspricht im Grunde der Größe des Versicherungspools – etwa 38 Millionen Dollar.

BlockBeats: Wie viel Prozent chinesischer Nutzer gibt es diesmal?

3D: Ich weiß es nicht sehr genau. Diesmal waren jedoch die lautesten und ersten, die sich für den Schutz der Rechte aussprachen, tatsächlich ich und Yishi, und wir waren gleichbedeutend damit, die Führung zu übernehmen. Chinesische Nutzer konzentrieren sich mehr auf die Stimme, natürlich gibt es einige englische Nutzer, aber die Gesamtlautstärke ist relativ gering.

Die Zeit, nachdem der Nachschub gestohlen wurde

BlockBeats: Was ist die aktuelle Lösung?

3D: Um es einfach auszudrücken: Wir haben 15,5 % unseres Kapitals verloren. Die Gemeinde hätte sich gewünscht, dass sie Maßnahmen ergriffen hätten, da der Gesamtschaden etwa 10 Millionen Dollar betrug. Einer der Entwickler in ihrem Team steuerte etwa 1,5 Millionen bei, und sie nahmen etwa 800.000 aus der Kasse, was insgesamt etwas mehr als 20 % entspricht.

Ihre Einstellung ist: "Seht ihr, wir haben auch Geld verloren, verfolgt das nicht mehr." Aber die Frage ist, warum verwenden Sie das Geld nicht, um mit Hackern zu kommunizieren. Zum Beispiel: "Du gibst das Geld zurück und wir belohnen dich mit diesem Teil als White Hat", würden sich nicht alle freuen? Aber sie haben es überhaupt nicht getan.

BlockBeats: Warum haben Sie sich überhaupt für dieses Protokoll für das Mining entschieden?

3D: Ich war Anfang April am Resupply-Projekt beteiligt. Als ich damals durch Twitter scrollte, sah ich, dass eine Person, der ich schon lange folge, Inhalte postete und später sah, dass Curve sie offiziell retweetete, was meine Aufmerksamkeit erregte.

Im Nachhinein sieht es aus der Logik des Projekts seltsam aus, es scheint nicht alleine Geld verdienen zu wollen, sondern eher Curve dabei zu helfen, die Nutzung von crvUSD zu "steigern". Da crvUSD selbst keinen praktischen Nutzen hat, entwarf er einen Mechanismus, um einen Anwendungsfall zu erzwingen, und nutzte dann Anreize, um die Menschen zur Teilnahme zu bewegen.

Aus der Perspektive von uns Teilnehmern ist das wie ein großer Bruder, der die Plattformdaten abrufen will und seinen "kleinen Bruder" bittet, die Szene zu unterstützen, und Curve hat ihm eine gewisse Unterstützung gegeben, so dass wir damals nicht dachten, dass daran etwas falsch war.

Für diejenigen unter uns, die Mining oder Arbitrage betreiben, wenn wir auf ein neues Projekt stoßen, werden wir zunächst zwei wichtige Punkte bewerten: Der erste ist das Produkt selbst, wie funktioniert es? Woher kommt das Geld, das Sie verdienen? Der zweite ist der Hintergrund der Projektpartei, also die sogenannten "Vor-Ort"- und "Off-Site"-Informationen. Meiner Meinung nach war die Logik von Resupply damals relativ einfach und intuitiv.

BlockBeats: Und wer ist deiner Meinung nach nach dem Unfall verantwortlich? Welche wichtigen Entscheidungen hat das Nachschubteam getroffen, nachdem es passiert ist? Wenn Sie es mit ausgereiften DeFi-Protokollplattformen vergleichen, was sind die offensichtlichen Lücken in ihren Reaktionsprozessen?

3D: Ich denke, das größte Problem bei der Bewältigung der Folgen ist, dass sie überhaupt kein Gespür für Krisenreaktionen haben. Ich habe nicht einmal die grundlegendsten Dinge von vornherein getan. Jeder kann das im Internet finden, und Cosine Boss hat es auch erwähnt: Sie haben die Hacker weder öffentlich angeprangert, noch eine Ankündigung gemacht, um die Situation zu erklären, geschweige denn irgendwelche rechtlichen oder Rechenschaftsmechanismen aktiviert - sie haben nicht einmal versucht, mit den Hackern zu kommunizieren, sie waren völlig laissez-faire.

Zumindest werden andere Projekte Ankündigungen machen, Verträge aussetzen, White Hats kontaktieren und versuchen, Gelder zurückzubekommen, was alles nicht geschieht. Es ist, als wäre es nicht passiert.

Wir verstehen auch nicht, warum das Projektteam nicht aktiv mit der Community kommuniziert. Der gesamte Vorfall führte zu einem Verlust von fast 10 Millionen, und das eigene Team steuerte nur etwa 1,5 Millionen für einen Entwickler bei, plus etwa 800.000 Yuan aus der Projektkasse, die etwa 20 % des Verlusts abdeckte. Wie man es auch dreht und wendet, das ist nur eine symbolische "Bedeutung", ein Tropfen auf den heißen Stein.

Ihre Einstellung ist im Grunde: "Seht ihr, wir verlieren auch Geld, stört uns nicht mehr." Aber das Problem ist, dass sie das Geld offensichtlich verwenden können, um mit den Hackern zu verhandeln und klarzustellen, dass, solange Sie das Geld zurückgeben, dieses Geld als White-Hat-Belohnung behandelt wird und alle glücklich sein werden. Aber sie haben diese Maßnahme überhaupt nicht ergriffen.

In der Nachricht von 3D im offiziellen Resupply-Forum wurde vorgeschlagen, mit Hackern in Form eines White-Hat-Bonus zu sprechen, aber es wurde keine Antwort erhalten

Der erste ist, dass sie bei der Wiederherstellung gehackter Vermögenswerte extrem passiv oder sogar völlig inaktiv sind. Seit dem Vorfall am vergangenen Donnerstag sind einige Tage vergangen, und es gibt immer noch keine wesentlichen Fortschritte.

Der zweite Punkt ist, dass sie extrem arrogant und gleichgültig gegenüber der Gemeinschaft sind. Sobald der Vorfall bekannt wurde, gingen viele unserer Benutzer zum ersten Mal zu Discord, um zu fragen, aber sie sagten direkt qualitativ, dass "die Leute im Versicherungspool die Verluste tragen", und es gab keinen Raum für eine grundlegende Diskussion. Wir hinterfragten ihren Ansatz und sagten, dass die Dokumentation nicht besagte, dass Benutzer solche Verluste tragen sollten, nur um lächerlich, angegriffen und sogar gesperrt zu werden.

Sie sagten auch: "Sie erzielen eine annualisierte Rendite von 17 %, also gehen Sie das Risiko ein." Diese Logik ist einfach nicht stichhaltig, und nur weil wir an einer annualisierten Strategie von 17 % teilnehmen, bedeutet das nicht, dass wir die volle Verantwortung für den Protokolldiebstahl tragen.

Das Feedback in unserer Gruppe war einstimmig, nicht dass es am unangenehmsten war, Geld zu verlieren, sondern dass die Erfahrung, in Discord gedemütigt und blockiert zu werden, ärgerlicher war. Es gibt zwei Hauptgründe, warum dieser Vorfall eine so starke Reaktion ausgelöst hat: die Untätigkeit des Projektteams und seine Verachtung für die Benutzer.

Wenn sie es sich wirklich nicht leisten können, zu verlieren, können sie ihre Haltung deutlich machen, indem sie z. B. zuerst 3 Millionen herausnehmen und 7 Millionen allen Nutzern überlassen, um sie proportional zu teilen, was auch stärker ist als jetzt. Aber ihre Art, damit umzugehen, besteht darin, die Nutzer des Versicherungspools direkt "herauszunehmen" und die volle Verantwortung zu übernehmen. Ihr Zweck dabei ist klar: Das Protokoll am Laufen zu halten und das Projekt nicht sterben zu lassen.

Das Ironischste ist, dass sie, wenn man sich die Ankündigung ansieht, die sie damals gemacht haben, fast nicht die Höhe der Verluste erwähnt haben und nur leichtfertig sagten, dass sie auf ein Schlupfloch gestoßen sind, einen Markt ausgesetzt haben und alles andere wie gewohnt weiterging, was sehr unverantwortlich ist.

Schwerwiegender ist, dass der Hacker 10 Millionen Stablecoins zum Nulltarif durch Schlupflöcher geprägt hat, um den Markt zu verkaufen und damit den ursprünglichen überbesicherten Mechanismus direkt zu brechen, so dass hinter dem Stablecoin nicht mehr genügend Unterstützung für Vermögenswerte steht. In diesem Fall hat die Projektpartei den Vertrag immer noch nicht ausgesetzt und den Nutzer den Rückzug selbst durchführen lassen.

Infolgedessen wurden Benutzer, die schnell liefen, zurückgezogen, und der Tresorpool wurde aufgrund einer 7-tägigen Verzögerung bei der Auszahlung vollständig gesperrt. Noch empörender ist, dass sie einen neuen Vorschlag zur Aussetzung von Abhebungen von Versicherungspools und zum weiteren Einfrieren von Nutzergeldern auf den Weg gebracht haben. Was ihre Aussage betrifft, dass "Forderungsausfälle vom Versicherungspool getragen werden sollten", gibt es überhaupt keinen Präzedenzfall in den DeFi-Protokollen. Sie haben wieder einmal das Endergebnis der Branche durchbrochen, und es gibt überhaupt keine Rationalität in der Governance.

BlockBeats: Gibt es schon Projekte, die diesen Versicherungspool zur Schadendeckung genutzt haben?

3D: Der Versicherungspool trägt überhaupt die schwarzen Schulden.

Es gibt nur drei Möglichkeiten, sich am Resupply-Projekt zu beteiligen: Pledge, revolving loan und group LP. Aus Sicht der Benutzererwartungen ist das Staking in der Tat die stabilste Gruppe von Personen darin, aber jetzt müssen sie alle Risiken tragen. Das Kernproblem liegt in der Erwartung des Nutzers an den Versicherungspool, und wir alle glauben, dass dies so lange der durch Marktschwankungen verursachte Forderungsausfall ist.

Ich habe damals eine Analogie über den Versicherungspool gezogen, die vielleicht nicht sehr genau ist, aber sie bedeutet wahrscheinlich, dass es so ist, als hätten Sie ein Vermögensverwaltungsprodukt auf Binance gekauft, und Binance wurde gestohlen, und es sagt Ihnen: "Sind Sie nicht hier, um Geld zu sparen?" Jeder trägt den Verlust, besonders diejenigen unter Ihnen, die sich das Finanzmanagement gekauft haben." Schließlich wird das verlorene Geld nur von den Geldern des Benutzers abgezogen, und andere sind davon nicht betroffen.

Tatsächlich wurden in der Vergangenheit einige Börsen gestohlen, und alle Benutzer tragen die Verluste anteilig, aber dieses Mal war dies nicht der Fall. Sie lassen den Benutzer der Vermögensverwaltung nur den gesamten Verlust tragen. Ihre Logik lautet: "Wenn Sie 2 % pro Jahr verdienen wollen, müssen Sie dafür haftbar gemacht werden." Es gibt sogar Leute, die sagen, dass "es so etwas wie ein kostenloses Mittagessen nicht gibt", was bedeutet, dass Sie es verdienen, den Verlust dieses Diebstahls zu tragen, wenn Sie 17 % des annualisierten Einkommens nehmen, was unverschämt ist.

Welche Rolle spielte Curve in diesen Turbulenzen?

BlockBeats: Du hast erwähnt, dass du an Resupply teilgenommen hast, weil du Curve vertraut hast, also was denkst du, ist die Beziehung zwischen Resupply und Curve? Glauben Sie, dass die "schneidende" Haltung von Curve nach dem Vorfall vernünftig ist?

3D: Ich denke, man kann es auf zwei Ebenen sehen. Das erste ist die Logik an der Oberfläche - dieses Projekt dient und unterstützt Curve, und es ist auch ein Projekt im Curve-Ökosystem.

Aber auf der anderen Seite werden Menschen mit normalem Urteilsvermögen eine vernünftige Argumentation anstellen: Sie sehen, dass das Design dieses Protokolls im Wesentlichen darin besteht, Dienstleistungen für Curve bereitzustellen, und um es ganz offen zu sagen, ist es die Rolle des "kleinen Bruders". Andernfalls ist seine Existenz fast bedeutungslos, und seine Kernlogik besteht darin, die Protokolleinnahmen von Curve mit seinen eigenen Mining-Coins zu subventionieren.

Ihr sagt, dass diese Art von Dingen, die keine Gegenleistung verlangen und eine reine Bluttransfusion sind, es sei denn, es ist wahre Liebe, wer wird das tun? Vor allem bei seinem Token dachte ich damals, dass das Projekt nicht einen Monat dauern würde, weil die Gesamtgeschichte nicht attraktiv war, und letztendlich ging es darum, einige neue Inkremente in den Stablecoin von Curve zu bringen, und es gab keine Substanz.

Aber dann sehen Sie, der Preis hat sich stabilisiert, und er ist seit langem stabil. Ich dachte mir, wer wird dahinter stecken? Wenn ich darüber nachdenke, ist die plausibelste Erklärung, dass Curve es alleine macht. Wer auch immer davon profitiert und wer am meisten motiviert ist, die Situation zu stabilisieren - das ist eine Argumentation des gesunden Menschenverstandes, obwohl es keine wirklichen Beweise gibt, aber solange das Gehirn Recht hat, kann man sich das wahrscheinlich vorstellen.

Native Token-Preisbewegung wieder auffüllen

Vor dem Unfall schrie Curve, dass es ein gutes Projekt sei, aber jetzt, da es einen Unfall hatte, klärte es sofort auf und sagte: "Es ist nur ein ökologisches Projekt, es hat nichts mit mir zu tun". Diese Haltung ist die gleiche wie einige der Nachrichten, die wir normalerweise sehen: Sobald etwas passiert, ist es "ein Leiharbeiter". Jetzt, wo sogar wir, die Benutzer, gesperrt wurden, wie weit ist das Ihrer Meinung nach geschehen?

Ohne die Unterstützung von Curve wäre Resupply nicht in der Lage gewesen, so viel Geld aufzubringen. Wir waren nicht involviert wegen des Entwicklungsteams, das eigentlich keinen guten Ruf hatte. Wenn nur sie ein Projekt alleine machen, werden wir definitiv nicht involviert sein.

Es gibt zwei Gründe, warum wir uns wirklich für die Teilnahme entschieden haben: Einer ist, dass sich das Geschäftsmodell um den Stablecoin von Curve dreht, was logischerweise gleichbedeutend damit ist, Curve beim Wachstum zu helfen, und diese Bindungsbeziehung gibt den Menschen ein Gefühl der relativen Sicherheit; Der zweite ist, dass Curve das Projekt zu diesem Zeitpunkt offiziell anerkannt und sogar befürwortet hat.

Dass du sagst, dass die Projektpartei eine schwarze Geschichte hat, ist wahr, aber dieses Mal haben sie ihre Westen nicht gewechselt, sondern weiterhin ihre ursprünglichen Identitäten verwendet, um Projekte durchzuführen, was bis zu einem gewissen Grad als eine Art "Klarnamen"-Verantwortung angesehen werden kann.

BlockBeats: Ist die offizielle Werbung und Befürwortung von Resupply durch Curve in diesem Fall gesamtschuldnerisch haftbar? Wie sehen Sie den Interessenkonflikt zwischen "nachträglichem Rückwurf" und "ex-ante Förderung" auf der ökologischen Seite?

3D: Ich glaube nicht, dass das "Schneiden"-Verhalten von Curve nach dem Vorfall völlig unvernünftig ist. Wenn ich einmal einen bestimmten Mining-Pool empfehle, auch wenn ich keinen Cent oder irgendein Interesse habe, und etwas mit der Mine passiert, wäre ich der Erste, der sich zu Wort meldet und den Leuten, die mir folgen, sagt, was jetzt falsch läuft, und ich werde dem nachgehen.

Curve hat das Projekt aktiv unterstützt, als es am Anfang normal lief, und als das Projekt schief ging, hatte es eine "Nichts mit mir zu tun"-Einstellung, sagte ein paar Worte des "Bedauerns" und wischte es dann ab, was wirklich inakzeptabel ist.

Wie vermeidet man es, im Bergbau auf die Grube zu treten?

BlockBeats: Was ist heute die größte Schwierigkeit bei der Verteidigung der Rechte von DeFi-Nutzern?

3D: Der Kern des Problems ist der Mangel an Klarheit und der Mangel an Regulierung in der Branche selbst. In diesem Fall ist es tatsächlich sehr schwierig, Rechte zu verteidigen.

Wenn Sie ein US-Benutzer sind, könnte die Situation etwas besser sein. Da die Vereinigten Staaten über eine lange Gerichtsbarkeit verfügen, können sie die Haftung mit rechtlichen Mitteln grenzüberschreitend verfolgen, und es ist sogar möglich, einen Teil der Gelder zurückzufordern und Verluste der Regierung zu melden. Aber für uns gibt es einen solchen Kanal im Grunde nicht.

BlockBeats: Was sind also die aktuellen Möglichkeiten, die Rechte dieser großen geschädigten Eigentümer zu schützen?

3D: Nein, wer würde sonst schon ein Clown im Internet sein wollen?

Am Ende des Tages haben wir einfach keine wirksamen Kanäle, um unsere Rechte zu verteidigen. Solange die Projektpartei als verantwortungslos eingestuft wird, können sich die Nutzer nur auf ihre eigenen Stimmen verlassen und Aktionen organisieren. Für mich war der finanzielle Schaden zwar nicht groß, aber ich habe besonders heftig reagiert, weil ich es als Beleidigung empfunden habe. Wenn alle Projektbeteiligten diese Einstellung haben, dann wird die Branche gar nicht mitspielen können.

Um ehrlich zu sein, ist es wirklich erschreckend. Heute wurde ich ausgeboxt, morgen bist du es vielleicht, solange du noch in diesem Kreis bist, wirst du immer ähnlichen Dingen begegnen. Wie das alte Sprichwort sagt: "Wahrer Held ist derjenige, der sich entscheidet zu lieben, nachdem er die Wahrheit gesehen hat." So können wir nur auf die Branche schauen. Um das Problem zu lösen, kommt es einerseits darauf an, dass die Projektpartei eine moralische Quintessenz hat, und andererseits braucht die Branche auch eine grundlegende Selbstdisziplin.

BlockBeats: Auf welche Informationen konzentrierst du dich, wenn das Projekt neu ist oder sich noch im Förderzeitraum befindet?

3D: Wenn ein Projekt zum ersten Mal gestartet wird oder in der Pitch-Phase, konzentriere ich mich normalerweise auf ein paar Dinge.

Der erste ist das Geschäftsmodell. Womit genau verdient dieses Projekt Geld? Wo ist die Quelle des Gewinns? Dies ist die grundlegendste, aber auch die kritischste Frage.

Die zweite sind die Vor-Ort-Informationen, d.h. der Funktionsmechanismus des Protokolls selbst, z. B. ob der Zu- und Abfluss von Geldern reibungslos verläuft, ob es "Stuck Points" gibt - z. B. ob es eine Zeitsperre für ein- und ausgehende Gelder gibt oder ob es eine hohe Bearbeitungsgebühr gibt, die in direktem Zusammenhang mit der Benutzererfahrung und dem Risiko stehen.

Der dritte Punkt sind Informationen außerhalb der Website. Ich möchte sehen, ob dieses Team schon Projekte durchgeführt hat, ob es anonym ist, ob es Unterstützung von Investmentinstitutionen gibt, wer dahinter steckt und ob ich Hintergrundinformationen bekommen kann.

Darüber hinaus werde ich die Initiative ergreifen, um mit dem Discord des Projektteams zu chatten, um zu sehen, ob ihre Reaktionseinstellung und das Team zuverlässig sind. Manche Leute schauen sich Auditberichte an, aber ich möchte Sie daran erinnern, dass viele der Projekte, die gescheitert sind, tatsächlich geprüft wurden. Das Audit kann höchstens zeigen, ob die Projektpartei bereit ist, Geld auszugeben, um den Prozess zu durchlaufen, und stellt nicht dar, dass das Projekt wirklich sicher ist.

BlockBeats: Haben Sie noch Vertrauen in das Curve-Ökosystem, den Versicherungsmechanismus und das Stablecoin-System?

3D: Die Kurve befindet sich in einer ungünstigen Position. Die ursprüngliche Nische wurde in erster Linie entwickelt, um das Problem von Uniswap V2 mit der Handelstiefe von Stablecoins zu lösen. Da der konstante Produkt-Market-Making-Mechanismus von V2 unter den Stablecoins nicht gut abschneidet, braucht es viel Geld, um die Tiefe herauszuziehen. Zu dieser Zeit schlug Curve ein glatteres Kurvendesign vor, das sich auf Stablecoin-Börsen konzentrierte. Man kann sagen, dass es sich von Anfang an auf diese Differenzierung verlassen hat, um in DeFi Fuß zu fassen, und als Infrastrukturprodukt ist die Logik klar. Aber jetzt gibt es Druck auf Floyds Geschäft, und ich denke, es geht bergab, aber ich habe immer noch Vertrauen in das Stablecoin-System.

Ich war in letzter Zeit tatsächlich sehr ängstlich. Obwohl ich persönlich diesmal nicht viel verloren habe, war der größte Schlag für mich nicht das Geld, sondern das Selbstvertrauen. Ich war schon immer in der Branche, ich kann nicht sagen, wie sehr ich sie liebe, aber zumindest bin ich schon lange dabei. Aber jetzt beginne ich, ernsthafte Zweifel an der Nachhaltigkeit der Branche zu haben – wenn alle Projektparteien so wären, könnte die Branche nicht weitermachen.

Yishi hat alle Minen abgezogen, und jetzt plant er nur, sich mit Bitcoin einzudecken und nichts anderes anzufassen. Sie denken, dass unser Verlust von 15,5 % dieses Mal der annualisierten Rendite eines Jahres Mining direkt auf Null entspricht. Was wir ursprünglich gemacht haben, war eine relativ risikoarme Strategie, keine hochverschuldete, zehnfache tägliche Gewinne. In einem Jahr 15 Punkte verdient und jetzt ist es an einem Tag weg, wer kann das aushalten?