Wawancara dengan korban Resupply, siapa yang bertanggung jawab atas $9.6 juta?
Seminggu telah berlalu sejak Resupply dicuri, dan pada 26 Juni, pelanggaran keamanan terjadi di stablecoin "wstUSR Market" dari protokol DeFi Resupply, mengakibatkan hilangnya sekitar $9,6 juta aset kripto. "Berjalan di tepi sungai, bagaimana mungkin Anda tidak membasahi sepatu Anda", pemain DeFi OG 3D memposting video perlindungan hak di saluran Youtube-nya selama tiga hari berturut-turut, dan BlockBeats menghubungi 3D untuk mengobrol dengannya tentang serangkaian ulasan setelah pencurian sebagai saksi langsung dari kehilangan tersebut.
3D adalah salah satu pengguna paling awal yang berpartisipasi dalam penambangan protokol ini, dan dia adalah pemain penambangan dan pembuat konten. Dalam wawancara ini, kami mendengar keraguan, emosi, dan beberapa aturan tak terucapkan di industri yang tidak ingin dia bicarakan. Dia berbicara tentang "dukungan default" Curve, respons reaktif proyek terhadap peretas, dan proses komunitas yang diblokir dan dipermalukan saat membela hak-hak mereka.
Dibandingkan dengan kehilangan uang, dalam narasi 3D, yang membuatnya dingin adalah guncangan kepercayaan pada industri. Dia mengakui bahwa meskipun dia tidak kalah paling banyak, dia adalah orang yang paling marah - bukan karena uang, tetapi karena status pengguna yang diabaikan dan dipermalukan. Pengalamannya mencerminkan dilema umum dari peserta DeFi yang tak terhitung jumlahnya - hak dan tanggung jawab yang tidak jelas, tidak ada cara untuk membela hak, dan konsesi berulang dari keuntungan moral.
Berikut percakapan lengkapnya:
BlockBeats: Tolong berikan pengenalan singkat kepada 3D.
3D: Nama yang saya gunakan di jaringan adalah 3D, dan pekerjaan utama saya saat ini adalah penambangan saya sendiri, saya telah berada di lingkaran sejak putaran ICO 2017, tetapi saya benar-benar mulai fokus pada DeFi dan arbitrase dari DeFi Summer pada tahun 2020, dan saya juga menjalankan saluran Youtube yang berfokus pada arbitrase DeFi - 3D Crypto Channel.
BlockBeats: Berapa banyak uang yang telah dikompromikan sejauh ini? Bagaimana seharusnya skala kerugian aktual diperkirakan atau diukur?
3D: Jumlah total uang yang dapat dilihat saat ini pada dasarnya adalah ukuran kumpulan asuransi – sekitar $38 juta.
BlockBeats: Berapa persentase pengguna Cina yang ada kali ini?
3D: Saya tidak tahu dengan baik. Namun, kali ini, yang paling keras dan pertama yang berbicara untuk perlindungan hak memang saya dan Yishi, dan kami sama saja dengan memimpin. Pengguna Cina lebih terkonsentrasi pada suara, tentu saja ada beberapa pengguna bahasa Inggris, tetapi volume keseluruhannya relatif kecil.
Periode setelah Pasokan Kembali dicuri
BlockBeats: Apa solusi saat ini?
3D: Sederhananya, kami kehilangan 15,5% dari pokok kami. Masyarakat ingin mereka mengambil tindakan, karena total kerugian sekitar $ 10 juta. Salah satu pengembang di tim mereka menyumbang sekitar 1,5 juta, dan mereka mengambil sekitar 800.000 dari pundi-pundi, yang totalnya lebih dari 20%.
Sikap mereka seperti, "Anda lihat kami juga kehilangan uang, jangan mengejarnya lagi." Tetapi pertanyaannya adalah, mengapa Anda tidak menggunakan uang untuk berkomunikasi dengan peretas? Misalnya, "Anda mengembalikan uangnya, dan kami menghadiahi Anda dengan bagian ini sebagai topi putih," bukankah semua orang akan senang? Tapi mereka tidak melakukannya sama sekali.
BlockBeats: Mengapa Anda memilih protokol ini untuk penambangan sejak awal?
3D: Saya terlibat dalam proyek Resupply sekitar awal April. Saat itu, ketika saya menggulir Twitter, saya melihat seseorang yang telah lama saya ikuti memposting konten terkait, dan kemudian melihat bahwa Curve secara resmi me-retweetnya, yang menarik perhatian saya.
Jika dipikir-pikir, terlihat aneh dari logika proyek, sepertinya tidak ingin menghasilkan uang sendiri, tetapi lebih seperti membantu Curve "mendorong" penggunaan crvUSD. Karena crvUSD sendiri tidak memiliki kegunaan praktis, ia merancang mekanisme untuk memaksa kasus penggunaan, dan kemudian menggunakan insentif untuk membimbing orang untuk berpartisipasi.
Dari sudut pandang kami para peserta, ini seperti kakak laki-laki yang ingin menarik data platform dan meminta "adik laki-lakinya" untuk mendukung adegan tersebut, dan Curve memang memberinya dukungan, jadi kami tidak berpikir ada yang salah dengan itu pada saat itu.
Bagi kita yang melakukan penambangan atau arbitrase, ketika menghadapi proyek baru, pertama-tama kita akan mengevaluasi dua poin penting: yang pertama adalah produk itu sendiri, bagaimana cara kerjanya? Dari mana uang yang Anda hasilkan berasal? Yang kedua adalah latar belakang pesta proyek, yaitu apa yang disebut informasi "di tempat" dan "di luar lokasi". Dalam penilaian saya pada saat itu, logika Resupply relatif sederhana dan intuitif.
BlockBeats: Dan menurut Anda siapa yang bertanggung jawab setelah kecelakaan itu? Keputusan kunci apa yang dibuat tim Resupply setelah itu terjadi? Jika Anda membandingkannya dengan platform protokol DeFi yang sudah matang, apa kesenjangan yang jelas dalam proses respons mereka?
3D: Saya pikir masalah terbesar dengan bagaimana mereka menghadapi akibatnya adalah bahwa mereka tidak memiliki rasa respons krisis sama sekali. Saya bahkan tidak melakukan hal-hal paling mendasar sejak awal. Semua orang dapat menemukannya di Internet, dan Cosine Boss juga menyebutkannya: mereka tidak secara terbuka memanggil peretas, juga tidak mengeluarkan pengumuman untuk menjelaskan situasinya, apalagi mengaktifkan mekanisme hukum atau akuntabilitas apa pun - mereka bahkan tidak mencoba berkomunikasi dengan peretas, mereka benar-benar laissez-faire.
Setidaknya, proyek lain akan membuat pengumuman, menangguhkan kontrak, menghubungi topi putih, dan mencoba memulihkan dana, yang semuanya belum selesai. Sepertinya itu tidak terjadi.
Kami juga tidak mengerti mengapa tim proyek tidak berkomunikasi secara aktif dengan komunitas. Seluruh insiden menyebabkan kerugian hampir 10 juta, dan tim mereka sendiri hanya menyumbang sekitar 1,5 juta untuk pengembang, ditambah sekitar 800.000 yuan dari perbendaharaan proyek, yang menutupi sekitar 20% dari kerugian. Tidak peduli bagaimana Anda melihatnya, ini hanyalah "makna" simbolis, setetes air di ember.
Sikap mereka pada dasarnya adalah "Anda lihat kami juga kehilangan uang, jangan ganggu kami lagi." Tetapi masalahnya adalah mereka jelas dapat menggunakan uang itu untuk bernegosiasi dengan peretas, dan menjelaskan bahwa selama Anda mengembalikan uangnya, uang ini akan diperlakukan sebagai hadiah topi putih, dan semua orang akan senang. Tapi mereka tidak mengambil tindakan itu sama sekali.
Pesan 3D di forum resmi Resupply menyarankan untuk mencoba berbicara dengan peretas dalam bentuk bonus topi putih, tetapi belum menerima balasan
Yang pertama adalah bahwa mereka sangat pasif atau bahkan sama sekali tidak aktif dalam memulihkan aset yang diretas. Sudah beberapa hari sejak insiden Kamis lalu, dan masih belum ada kemajuan substansial.
Poin kedua adalah bahwa mereka sangat sombong dan acuh tak acuh terhadap masyarakat. Begitu insiden itu keluar, banyak pengguna kami pergi ke Discord untuk bertanya untuk pertama kalinya, tetapi mereka secara langsung secara kualitatif mengatakan bahwa "orang-orang di kumpulan asuransi menanggung kerugian", dan tidak ada ruang untuk diskusi dasar. Kami mempertanyakan pendekatan mereka, mengatakan bahwa dokumentasi tidak menyatakan bahwa pengguna harus menanggung kerugian seperti itu, hanya untuk diejek, diserang, dan bahkan dilarang.
Mereka juga berkata, "Anda menghasilkan pengembalian tahunan 17%, jadi Anda mengambil risiko." Logika ini tidak berlaku, dan hanya karena kita berpartisipasi dalam strategi tahunan 17% tidak berarti kita bertanggung jawab penuh atas pencurian protokol.
Umpan balik di grup kami bulat, bukan karena kehilangan uang adalah yang paling tidak nyaman, tetapi pengalaman dipermalukan dan diblokir di Discord lebih menyebalkan. Ada dua alasan utama mengapa insiden ini memicu reaksi yang begitu kuat: kelambanan tim proyek dan penghinaan mereka terhadap pengguna.
Jika mereka benar-benar tidak mampu untuk kalah, mereka dapat memperjelas sikap mereka, seperti mengeluarkan 3 juta terlebih dahulu, dan menyisakan 7 juta untuk dibagikan oleh semua pengguna secara proporsional, yang juga lebih kuat dari sekarang. Tetapi cara mereka menghadapinya adalah dengan langsung "mengeluarkan" pengguna kumpulan asuransi dan bertanggung jawab penuh. Tujuan mereka dalam melakukan ini jelas, yaitu untuk menjaga protokol tetap berjalan dan tidak membiarkan proyek mati.
Yang paling ironis adalah melihat pengumuman yang mereka buat saat itu, mereka hampir tidak menyebutkan jumlah kerugian, dan hanya mengatakan dengan ringan bahwa mereka mengalami celah, menangguhkan pasar, dan yang lainnya berjalan seperti biasa, yang sangat tidak bertanggung jawab.
Yang lebih serius adalah bahwa peretas mencetak 10 juta stablecoin tanpa biaya melalui celah untuk menjual pasar, secara langsung mematahkan mekanisme overcollateralized asli, sehingga tidak ada lagi dukungan aset yang cukup di balik stablecoin. Dalam hal ini, pihak proyek masih tidak menangguhkan perjanjian dan membiarkan pengguna mengoperasikan penarikan sendiri.
Akibatnya, pengguna yang berlari cepat ditarik, dan kumpulan brankas benar-benar terkunci karena penundaan penarikan 7 hari. Yang lebih keterlaluan adalah mereka telah meluncurkan proposal baru untuk menangguhkan penarikan kumpulan asuransi dan lebih lanjut membekukan aset pengguna. Adapun pernyataan mereka bahwa "hutang macet harus ditanggung oleh kumpulan asuransi", tidak ada preseden dalam protokol DeFi sama sekali. Mereka sekali lagi menembus garis bawah industri, dan tidak ada rasionalitas dalam tata kelola sama sekali.
BlockBeats: Apakah ada proyek yang pernah menggunakan kumpulan asuransi ini untuk menutupi kerugian sebelumnya?
3D: Kumpulan asuransi menanggung hutang hitam sama sekali.
Hanya ada tiga cara untuk berpartisipasi dalam proyek Resupply, pledge, pinjaman bergulir, dan LP grup. Faktanya, dari perspektif ekspektasi pengguna, staking adalah kelompok orang yang paling stabil di dalamnya, tetapi sekarang mereka harus menanggung semua risikonya. Masalah inti terletak pada ekspektasi pengguna terhadap kumpulan asuransi, dan kita semua percaya bahwa selama hutang macet yang disebabkan oleh fluktuasi pasar ditanggung.
Saya membuat analogi tentang kumpulan asuransi pada saat itu, yang mungkin tidak terlalu akurat, tetapi mungkin berarti bahwa itu seperti Anda membeli produk manajemen kekayaan di Binance, dan Binance dicuri, dan itu memberi tahu Anda, "Bukankah Anda di sini untuk menghemat uang?" Semua orang menanggung kerugian, terutama Anda yang telah membeli manajemen keuangan." Terakhir, uang yang hilang hanya akan dipotong dari dana pengguna, dan yang lain tidak akan terpengaruh.
Faktanya, beberapa bursa telah dicuri di masa lalu, dan semua pengguna menanggung kerugian secara proporsional, tetapi kali ini tidak. Mereka hanya membuat pengguna manajemen kekayaan menanggung seluruh kerugian. Logika mereka adalah, "Jika Anda ingin mendapatkan 2% per tahun, Anda harus bertanggung jawab untuk itu." Bahkan ada orang yang mengatakan bahwa "tidak ada yang namanya makan siang gratis", yang berarti Anda pantas menanggung kerugian dari pencurian ini jika Anda mengambil 17% dari pendapatan tahunan, yang keterlaluan.
Peran apa yang dimainkan Curve dalam kekacauan ini?
BlockBeats: Anda menyebutkan bahwa Anda berpartisipasi dalam Resupply karena Anda mempercayai Curve, jadi menurut Anda apa hubungan antara Resupply dan Curve? Apakah menurut Anda sikap "memotong" Curve setelah insiden itu masuk akal?
3D: Saya pikir itu dapat dilihat pada dua tingkatan. Yang pertama adalah logika di permukaan - proyek ini melayani dan mendukung Curve, dan juga merupakan proyek dalam ekosistem Curve.
Tetapi di sisi lain, orang-orang dengan penilaian normal akan membuat alasan yang masuk akal: Anda melihat bahwa desain protokol ini pada dasarnya adalah untuk memberikan layanan kepada Curve, dan terus terang, itu adalah peran "adik laki-laki". Jika tidak, keberadaannya hampir tidak ada artinya, dan logika intinya adalah mensubsidi pendapatan protokol Curve dengan koin penambangannya sendiri.
Anda mengatakan bahwa hal semacam ini yang tidak meminta imbalan apa pun dan murni transfusi darah, kecuali itu cinta sejati, siapa yang akan melakukannya? Terutama tokennya, pada saat itu, saya berpikir bahwa proyek tersebut tidak akan bertahan selama sebulan, karena cerita keseluruhannya tidak menarik, dan dalam analisis terakhir, itu untuk membawa beberapa peningkatan baru ke stablecoin Curve, dan tidak ada substansi.
Tapi kemudian Anda lihat, harganya stabil, dan sudah stabil untuk waktu yang lama. Saya berpikir, siapa yang akan berada di balik ini? Kalau dipikir-pikir, penjelasan yang paling masuk akal adalah bahwa Curve melakukannya sendiri. Siapa pun yang mendapat manfaat dari ini, dan siapa yang paling termotivasi untuk menstabilkan situasi - ini adalah alasan yang masuk akal, meskipun tidak ada bukti nyata, tetapi selama otak benar, Anda mungkin dapat memikirkan hal ini.
Pasokan kembali aksi harga token asli
Sebelum kecelakaan itu, Curve berteriak bahwa itu adalah proyek yang bagus, tetapi sekarang mengalami kecelakaan, ia segera dibersihkan, mengatakan "Ini hanya proyek ekologis, itu tidak ada hubungannya dengan saya". Sikap ini sama dengan beberapa berita yang biasa kita lihat: begitu sesuatu terjadi, itu adalah "pekerja sementara". Sekarang bahkan kami, pengguna, telah diblokir, seberapa jauh Anda mengatakan ini telah terjadi?
Tanpa dukungan Curve, Resupply tidak akan dapat mengumpulkan uang sebanyak itu. Kami tidak terlibat karena tim pengembangannya – yang sebenarnya tidak memiliki reputasi yang baik. Jika hanya mereka yang melakukan proyek sendirian, kami pasti tidak akan terlibat.
Ada dua alasan mengapa kami benar-benar memilih untuk berpartisipasi: satu adalah karena model bisnisnya berkisar pada stablecoin Curve, yang secara logis setara dengan membantu Curve tumbuh, dan hubungan yang mengikat ini membuat orang merasa relatif aman; Yang kedua adalah Curve secara resmi mengakui proyek tersebut saat itu, dan bahkan mendukungnya.
Adapun Anda mengatakan bahwa pesta proyek memiliki sejarah hitam, memang benar, tetapi kali ini mereka tidak mengganti rompi mereka, tetapi terus menggunakan identitas asli mereka untuk melakukan proyek, yang dapat dianggap sebagai semacam tanggung jawab "nama asli" sampai batas tertentu.
BlockBeats: Apakah publisitas resmi dan dukungan Curve terhadap Resupply bertanggung jawab secara bersama-sama dalam kasus ini? Bagaimana Anda memandang konflik kepentingan antara "pembuangan pasca-facto" dan "promosi ex-ante" di sisi ekologis?
3D: Saya tidak berpikir perilaku "memotong" Curve setelah insiden itu sama sekali tidak masuk akal. Jika saya pernah merekomendasikan kolam penambangan tertentu, bahkan jika saya tidak memiliki sepeser pun atau minat apa pun, dan sesuatu terjadi pada tambang, saya akan menjadi orang pertama yang berbicara dan memberi tahu orang-orang yang mengikuti saya apa yang salah sekarang, dan saya akan menindaklanjuti.
Curve secara aktif mendukung proyek ketika berjalan normal di awal, dan ketika proyek itu salah, itu memiliki sikap "tidak ada hubungannya dengan saya", mengucapkan beberapa kata "penyesalan", dan kemudian menepisnya, yang benar-benar tidak dapat diterima.
Bagaimana cara menghindari menginjak lubang dalam pertambangan?
BlockBeats: Apa kesulitan terbesar dalam membela hak-hak pengguna DeFi saat ini?
3D: Inti masalahnya adalah kurangnya kejelasan dan kurangnya regulasi dalam industri itu sendiri. Dalam hal ini, sebenarnya sangat sulit untuk membela hak.
Jika Anda adalah pengguna AS, situasinya mungkin sedikit lebih baik. Karena Amerika Serikat memiliki yurisdiksi lengan panjang, Amerika Serikat dapat mengejar tanggung jawab lintas batas melalui cara hukum, dan bahkan dimungkinkan untuk memulihkan sebagian dana dan melaporkan kerugian kepada pemerintah. Tapi bagi kami, pada dasarnya tidak ada saluran seperti itu.
BlockBeats: Jadi apa cara saat ini untuk melindungi hak-hak pemilik besar yang rusak ini?
3D: Tidak, jika tidak, siapa yang ingin menjadi badut di Internet?
Pada akhirnya, kami tidak memiliki saluran yang efektif untuk membela hak-hak kami. Selama pihak proyek ditentukan untuk tidak bertanggung jawab, pengguna hanya dapat mengandalkan suara mereka sendiri dan mengatur tindakan. Bagi saya, meskipun kerugian finansialnya tidak besar, saya bereaksi sangat kuat karena saya merasa itu adalah penghinaan. Jika semua pihak proyek memiliki sikap ini, maka industri tidak akan bisa bermain sama sekali.
Sejujurnya, ini benar-benar mengerikan. Hari ini saya diadu, besok mungkin Anda, selama Anda masih berada di lingkaran ini, Anda akan selalu menghadapi hal serupa. Seperti kata pepatah lama, "Kepahlawanan sejati adalah orang yang memilih untuk mencintai setelah melihat kebenaran." Begitulah cara kita hanya bisa melihat industri. Untuk menyelesaikan masalah, di satu sisi, tergantung pada pihak proyek untuk memiliki keuntungan moral, dan di sisi lain, industri juga perlu memiliki disiplin diri yang mendasar.
BlockBeats: Informasi apa yang Anda fokuskan ketika proyek baru atau masih dalam masa promosi?
3D: Ketika sebuah proyek pertama kali diluncurkan atau dalam fase pitch, saya biasanya fokus pada beberapa hal.
Yang pertama adalah model bisnis. Apa sebenarnya proyek ini menghasilkan uang? Di mana sumber keuntungan? Ini adalah pertanyaan yang paling mendasar tetapi juga yang paling kritis.
Yang kedua adalah informasi di tempat, yaitu mekanisme operasi protokol itu sendiri, seperti apakah arus masuk dan keluar dana lancar, apakah ada "titik macet" - seperti apakah ada penguncian waktu untuk dana masuk dan keluar, atau apakah ada biaya penanganan yang tinggi, yang terkait langsung dengan pengalaman dan risiko pengguna.
Yang ketiga adalah informasi di luar lokasi. Saya ingin melihat apakah tim ini pernah melakukan proyek sebelumnya, apakah itu anonim, apakah ada dukungan dari lembaga investasi, siapa yang berada di belakangnya, dan apakah saya bisa mendapatkan beberapa informasi latar belakang.
Selain itu, saya akan berinisiatif untuk mengobrol dengan Discord tim proyek untuk melihat apakah sikap respons dan tim mereka dapat diandalkan. Beberapa orang melihat laporan audit, tetapi saya ingin mengingatkan Anda bahwa banyak proyek yang gagal telah benar-benar diaudit. Paling-paling, audit hanya dapat menunjukkan apakah pihak proyek bersedia mengeluarkan uang untuk melalui proses, dan tidak menunjukkan bahwa proyek tersebut benar-benar aman.
BlockBeats: Apakah Anda masih percaya pada ekosistem Curve, mekanisme asuransi, dan sistem stablecoin?
3D: Kurva berada dalam posisi canggung. Ceruk aslinya terutama dirancang untuk memecahkan masalah Uniswap V2 dengan kedalaman perdagangan stablecoin. Karena mekanisme pembuatan pasar produk V2 yang konstan tidak berkinerja baik di antara stablecoin, dibutuhkan banyak uang untuk mengeluarkan kedalaman. Saat itu, Curve mengusulkan desain curve yang lebih halus, dengan fokus pada pertukaran stablecoin. Dapat dikatakan bahwa ia mengandalkan diferensiasi ini untuk mendapatkan pijakan yang kuat di DeFi sejak awal, dan sebagai produk infrastruktur, logikanya jelas. Tapi sekarang ada tekanan pada bisnis Floyd, dan saya pikir itu akan menurun, tetapi saya masih percaya diri pada sistem stablecoin.
Saya sebenarnya sangat cemas akhir-akhir ini. Meskipun saya tidak kehilangan banyak secara pribadi kali ini, pukulan terbesar bagi saya bukanlah uang, tetapi kepercayaan diri. Saya selalu berada di industri ini, saya tidak bisa mengatakan betapa saya menyukainya, tetapi setidaknya saya telah berkomitmen untuk itu untuk waktu yang lama. Tapi sekarang, saya mulai memiliki keraguan serius tentang keberlanjutan industri – jika semua pihak proyek seperti ini, industri tidak akan dapat melanjutkan.
Yishi telah menarik semua tambang, dan sekarang dia hanya berencana untuk menyimpan bitcoin dan tidak menyentuh yang lain. Anda berpikir bahwa kerugian 15,5% kami kali ini setara dengan pengembalian tahunan satu tahun penambangan langsung ke nol. Apa yang awalnya kami lakukan adalah strategi berisiko relatif rendah, bukan leverage tinggi, keuntungan harian sepuluh kali lipat. Memperoleh 15 poin dalam setahun, dan sekarang hilang dalam sehari, siapa yang tahan?