È passata una settimana da quando Resupply è stato rubato e il 26 giugno si è verificata una violazione della sicurezza nella stablecoin "wstUSR Market" del protocollo DeFi Resupply, con conseguente perdita di circa 9,6 milioni di dollari in criptovalute. "Camminando lungo il fiume, come puoi non bagnarti le scarpe", il player di DeFi OG 3D ha pubblicato un video di protezione dei diritti sul suo canale Youtube per tre giorni consecutivi, e BlockBeats ha contattato 3D per chattare con lui su una serie di recensioni dopo il furto come testimone di prima mano della perdita.

3D è uno dei primi utenti a partecipare al mining di questo protocollo ed è sia un giocatore di mining che un creatore di contenuti. In questa intervista, abbiamo ascoltato i suoi dubbi, le sue emozioni e alcune regole non dette del settore di cui non vuole parlare. Ha parlato della "approvazione predefinita" di Curve, della risposta reattiva del progetto agli hacker e del processo di blocco e umiliazione della comunità nella difesa dei propri diritti.

Rispetto alla perdita di denaro, nella narrazione in 3D, ciò che lo raggelava era il tremito di fiducia nel settore. Ammette che, anche se non ha perso di più, è quello che si arrabbia di più, non a causa dei soldi, ma a causa dello status di utente trascurato e umiliato. La sua esperienza riflette il dilemma comune di innumerevoli partecipanti alla DeFi: diritti e responsabilità poco chiari, nessun modo per difendere i diritti e ripetute concessioni di fondo morale.

Ecco la conversazione completa:

BlockBeats: Ci faccia una breve introduzione al 3D.

3D: Il nome che uso sulla rete è 3D e il mio lavoro principale al momento è il mio mining, sono nel circolo dal round di ICO del 2017, ma ho iniziato a concentrarmi davvero su DeFi e arbitraggio dalla DeFi Summer nel 2020, e gestisco anche un canale Youtube incentrato sull'arbitraggio DeFi - 3D Crypto Channel.

BlockBeats: Quanti soldi sono stati compromessi finora? Come deve essere stimata o misurata l'entità della perdita effettiva?

3D: L'importo totale di denaro che si può vedere al momento è fondamentalmente la dimensione del pool assicurativo – circa 38 milioni di dollari.

BlockBeats: Qual è la percentuale di utenti cinesi questa volta?

3D: Non lo so molto bene. Tuttavia, questa volta, i più forti e i primi a parlare per la protezione dei diritti siamo stati proprio io e Yishi, e siamo stati come se fossimo in prima linea. Gli utenti cinesi sono più concentrati sulla voce, certo, ci sono alcuni utenti inglesi, ma il volume complessivo è relativamente piccolo.

Il periodo successivo al furto del rifornimento

BlockBeats: Qual è la soluzione attuale?

3D: Per dirla semplicemente, abbiamo perso il 15,5% del nostro capitale. La comunità avrebbe voluto che prendessero provvedimenti, dato che la perdita totale è stata di circa 10 milioni di dollari. Uno degli sviluppatori del loro team ha contribuito con circa 1,5 milioni e ne ha presi circa 800.000 dalle casse, che è poco più del 20% in totale.

Il loro atteggiamento è del tipo: "Vedi che anche noi abbiamo perso soldi, non perseguirli più". Ma la domanda è: perché non usi i soldi per comunicare con gli hacker? Ad esempio, "Restituisci i soldi e noi ti ricompensiamo con questa parte come un cappello bianco", non sarebbero tutti felici? Ma non lo hanno fatto affatto.

BlockBeats: Perché avete scelto questo protocollo per il mining?

3D: Sono stato coinvolto nel progetto Resupply all'inizio di aprile. In quel momento, mentre scorrevo Twitter, ho visto una persona che seguivo da molto tempo pubblicare contenuti correlati, e in seguito ho visto che Curve li ha ufficialmente ritwittati, il che ha attirato la mia attenzione.

Col senno di poi, sembra strano dalla logica del progetto, non sembra voler fare soldi da solo, ma più come aiutare Curve a "potenziare" l'utilizzo di crvUSD. Poiché crvUSD in sé non ha alcuna utilità pratica, ha progettato un meccanismo per forzare un caso d'uso e quindi ha utilizzato incentivi per guidare le persone a partecipare.

Dal punto di vista di noi partecipanti, questo è come un fratello maggiore che vuole estrarre i dati della piattaforma e chiede al suo "fratellino" di supportare la scena, e Curve gli ha dato un po' di approvazione, quindi non abbiamo pensato che ci fosse qualcosa di sbagliato in quel momento.

Per chi come noi si occupa di mining o arbitraggio, quando ci imbattiamo in un nuovo progetto, valuteremo innanzitutto due punti chiave: il primo è il prodotto in sé, come funziona? Da dove vengono i soldi che guadagni? Il secondo è lo sfondo della parte del progetto, ovvero le cosiddette informazioni "on-site" e "off-site". A mio giudizio all'epoca, la logica di Resupply era relativamente semplice e intuitiva.

BlockBeats: E chi pensi sia responsabile dopo l'incidente? Quali decisioni chiave ha preso il team di Rifornimento dopo l'accaduto? Se lo si confronta con le piattaforme di protocollo DeFi mature, quali sono le lacune evidenti nei loro processi di risposta?

3D: Penso che il problema più grande con il modo in cui affrontano le conseguenze sia che non hanno affatto il senso della risposta alla crisi. Non ho nemmeno fatto le cose più elementari in primo luogo. Tutti possono trovarlo su Internet, e anche Cosine Boss lo ha menzionato: non hanno chiamato pubblicamente gli hacker, né hanno emesso un annuncio per spiegare la situazione, figuriamoci attivare alcun meccanismo legale o di responsabilità - non hanno nemmeno provato a comunicare con gli hacker, sono stati completamente laissez-faire.

Come minimo, altri progetti faranno annunci, sospenderanno contratti, contatteranno i white hat e cercheranno di recuperare fondi, tutte cose che non vengono fatte. È come se non fosse successo.

Inoltre, non capiamo perché il team di progetto non comunichi attivamente con la community. L'intero incidente ha portato a una perdita di quasi 10 milioni e il loro team ha contribuito solo con circa 1,5 milioni per uno sviluppatore, oltre a circa 800.000 yuan dalla tesoreria del progetto, che ha coperto circa il 20% della perdita. Non importa come lo si guardi, questo è solo un "significato" simbolico, una goccia nel mare.

Il loro atteggiamento è fondamentalmente "Vedi che stiamo perdendo soldi anche noi, non disturbarci più". Ma il problema è che possono ovviamente usare i soldi per negoziare con gli hacker e chiarire che finché restituisci i soldi, questi soldi saranno trattati come una ricompensa white hat e tutti saranno felici. Ma non hanno preso affatto quella misura.

Il messaggio di 3D sul forum ufficiale di Resupply suggeriva di provare a parlare con gli hacker sotto forma di bonus white hat, ma non ha ricevuto risposta

Il primo è che sono estremamente passivi o addirittura completamente inattivi nel recupero degli asset hackerati. Sono passati alcuni giorni dall'incidente di giovedì scorso e non ci sono ancora progressi sostanziali.

Il secondo punto è che sono estremamente arroganti e indifferenti alla comunità. Non appena è uscito l'incidente, molti dei nostri utenti sono andati su Discord per chiedere per la prima volta, ma hanno detto direttamente qualitativamente che "le persone nel pool assicurativo sopportano le perdite" e non c'era spazio per una discussione di base. Abbiamo messo in discussione il loro approccio, dicendo che la documentazione non affermava che gli utenti dovessero sopportare tali perdite, solo per essere ridicolizzati, attaccati e persino bannati.

Hanno anche detto: "Stai realizzando rendimenti annualizzati del 17%, quindi stai correndo il rischio". Questa logica semplicemente non regge e solo perché stiamo partecipando a una strategia annualizzata del 17% non significa che siamo pienamente responsabili del furto del protocollo.

Il feedback nel nostro gruppo è stato unanime, non che perdere soldi fosse la cosa più scomoda, ma che l'esperienza di essere umiliati e bloccati su Discord era più esasperante. Ci sono due ragioni principali per cui questo incidente ha scatenato una reazione così forte: l'inazione del team di progetto e il loro disprezzo per gli utenti.

Se proprio non possono permettersi di perdere, possono chiarire il loro atteggiamento, come togliere prima 3 milioni e lasciare 7 milioni a tutti gli utenti da condividere proporzionalmente, che è anche più forte di adesso. Ma il loro modo di affrontarlo è quello di "tirar fuori" direttamente gli utenti del pool assicurativo e assumersi la piena responsabilità. Il loro scopo nel fare questo è chiaro, ovvero mantenere il protocollo in esecuzione e non lasciare che il progetto muoia.

La cosa più ironica è che, guardando l'annuncio che hanno fatto all'epoca, quasi non hanno menzionato l'ammontare delle perdite, e hanno detto solo con leggerezza che hanno incontrato una scappatoia, sospeso un mercato, e tutto il resto è andato avanti come al solito, il che è molto irresponsabile.

La cosa più grave è che l'hacker ha coniato 10 milioni di stablecoin a costo zero attraverso scappatoie per vendere il mercato, rompendo direttamente il meccanismo originale di sovracollateralizzazione, in modo che non ci sia più abbastanza supporto di asset dietro la stablecoin. In questo caso, la parte del progetto non ha comunque sospeso l'accordo e ha lasciato che l'utente operasse autonomamente il prelievo.

Di conseguenza, gli utenti che correvano velocemente sono stati ritirati e il pool di vault è stato completamente bloccato a causa di un ritardo di 7 giorni nel prelievo. Ciò che è ancora più scandaloso è che hanno lanciato una nuova proposta per sospendere i prelievi del pool assicurativo e congelare ulteriormente gli asset degli utenti. Per quanto riguarda la loro affermazione secondo cui "i crediti inesigibili dovrebbero essere sostenuti dal pool assicurativo", non ci sono precedenti nei protocolli DeFi. Hanno ancora una volta sfondato i profitti dell'industria e non c'è alcuna razionalità nella governance.

BlockBeats: Qualche progetto ha mai utilizzato questo pool assicurativo per coprire le perdite in precedenza?

3D: Il pool assicurativo sopporta il debito nero.

Ci sono solo tre modi per partecipare al progetto Resupply: pegno, prestito rotativo e LP di gruppo. Infatti, dal punto di vista delle aspettative degli utenti, lo staking è il gruppo di persone più stabile al suo interno, ma ora devono sopportare tutti i rischi. Il problema principale risiede nell'aspettativa dell'utente nei confronti del pool assicurativo, e tutti noi crediamo che fintanto che i crediti inesigibili causati dalle fluttuazioni del mercato siano sopportati.

All'epoca ho fatto un'analogia sul pool assicurativo, che potrebbe non essere molto accurata, ma probabilmente significa che è come se avessi comprato un prodotto di gestione patrimoniale su Binance, e Binance fosse stato rubato, e ti dicesse: "Non sei qui per risparmiare denaro?" Tutti sopportano la perdita, specialmente quelli di voi che hanno comprato la gestione finanziaria". Infine, il denaro perso verrà detratto solo dai fondi dell'utente e gli altri non saranno interessati.

Infatti, alcuni exchange sono stati rubati in passato, e tutti gli utenti sopportano le perdite in modo proporzionale, ma questa volta non è stato così. Fanno solo in modo che l'utente della gestione patrimoniale si faccia carico dell'intera perdita. La loro logica è: "Se vuoi guadagnare il 2% all'anno, devi esserne responsabile". Ci sono persino persone che dicono che "non esiste un pasto gratis", il che significa che meriti di sopportare la perdita di questo furto se prendi il 17% del reddito annualizzato, il che è scandaloso.

Che ruolo ha avuto Curve in questo tumulto?

BlockBeats: Hai detto che hai partecipato a Resupply perché ti sei fidato di Curve, quindi quale pensi sia la relazione tra Resupply e Curve? Pensa che l'atteggiamento "tagliente" di Curve all'indomani dell'incidente sia ragionevole?

3D: Penso che possa essere visto su due livelli. La prima è la logica in superficie: questo progetto serve e sostiene Curve, ed è anche un progetto nell'ecosistema Curve.

Ma d'altra parte, le persone con un giudizio normale faranno un ragionamento ragionevole: vedi che il design di questo protocollo è fondamentalmente quello di fornire servizi a Curve e, per dirla senza mezzi termini, è il ruolo del "fratello minore". Altrimenti, la sua esistenza è quasi priva di significato e la sua logica principale è quella di sovvenzionare le entrate del protocollo di Curve con le proprie monete di mining.

Voi dite che questo genere di cose che non chiedono nulla in cambio ed è puramente una trasfusione di sangue, a meno che non sia vero amore, chi lo farà? Soprattutto il suo token, all'epoca, pensavo che il progetto non sarebbe durato un mese, perché la storia generale non era attraente, e in ultima analisi, era quello di portare qualche nuovo incremento alla stablecoin di Curve, e non c'era sostanza.

Ma poi vedi, il prezzo si è stabilizzato ed è rimasto stabile per molto tempo. Pensavo, chi ci sarà dietro? A pensarci bene, la spiegazione più plausibile è che Curve lo stia facendo da sola. Chiunque ne tragga vantaggio e chi sia più motivato a stabilizzare la situazione: questo è un ragionamento di buon senso, anche se non ci sono prove reali, ma finché il cervello ha ragione, probabilmente puoi pensarci.

Azione dei prezzi del token nativo di rifornimento

Prima dell'incidente, Curve gridava che era un buon progetto, ma ora che ha un incidente, si è subito chiarito, dicendo "È solo un progetto ecologico, non ha nulla a che fare con me". Questo atteggiamento è lo stesso di alcune delle notizie che vediamo di solito: una volta che succede qualcosa, è "un lavoratore temporaneo". Ora che anche noi, gli utenti, siamo stati bannati, fino a che punto dici che sia successo?

Senza l'approvazione di Curve, Resupply non sarebbe stata in grado di raccogliere così tanti soldi. Non siamo stati coinvolti a causa del suo team di sviluppo, che in realtà non aveva una buona reputazione. Se sono solo loro a fare un progetto da soli, sicuramente non saremo coinvolti.

Ci sono due motivi per cui abbiamo davvero scelto di partecipare: uno è che il suo modello di business ruota attorno alla stablecoin di Curve, che è logicamente equivalente ad aiutare Curve a crescere, e questa relazione di legame fa sentire le persone relativamente al sicuro; La seconda è che Curve ha riconosciuto ufficialmente il progetto in quel momento, e lo ha persino approvato.

Per quanto riguarda te che dici che il partito del progetto ha una storia nera, è vero, ma questa volta non hanno cambiato i loro giubbotti, ma hanno continuato a usare le loro identità originali per fare progetti, il che può essere considerato come una sorta di responsabilità del "vero nome" in una certa misura.

BlockBeats: La pubblicità ufficiale e l'approvazione di Resupply da parte di Curve sono responsabili in solido in questo caso? Come vede il conflitto di interessi tra "scarto post-facto" e "promozione ex-ante" dal punto di vista ecologico?

3D: Non credo che il comportamento "tagliente" di Curve dopo l'incidente sia del tutto irragionevole. Se una volta consigliassi una certa mining pool, anche se non avevo un centesimo o alcun interesse, e succedesse qualcosa alla miniera, sarei il primo a parlare e a dire alle persone che mi seguono cosa c'è che non va ora, e lo farò.

Curve ha sostenuto attivamente il progetto quando all'inizio funzionava normalmente, e quando il progetto è andato male, ha avuto un atteggiamento del tipo "non ha nulla a che fare con me", dicendo alcune parole di "rammarico" e poi liquidandolo, il che è davvero inaccettabile.

Come evitare di calpestare la fossa nell'estrazione mineraria?

BlockBeats: Qual è la difficoltà maggiore nel difendere i diritti degli utenti DeFi oggi?

3D: Al centro del problema c'è la mancanza di chiarezza e la mancanza di regolamentazione nel settore stesso. In questo caso, è in realtà molto difficile difendere i diritti.

Se sei un utente statunitense, la situazione potrebbe essere leggermente migliore. Poiché gli Stati Uniti hanno una giurisdizione a lungo termine, possono perseguire la responsabilità oltre i confini attraverso mezzi legali, ed è anche possibile recuperare parte dei fondi e segnalare le perdite al governo. Ma per noi, fondamentalmente non esiste un canale del genere.

BlockBeats: Quindi quali sono i modi attuali per proteggere i diritti di questi grandi proprietari danneggiati?

3D: No, altrimenti chi vorrebbe fare il clown su Internet?

In fin dei conti, semplicemente non abbiamo alcun canale efficace per difendere i nostri diritti. Finché la parte del progetto è determinata ad essere irresponsabile, gli utenti possono fare affidamento solo sulla propria voce e organizzare azioni. Per quanto mi riguarda, anche se il danno finanziario non è stato grande, ho reagito in modo particolarmente forte perché ho avuto l'impressione che fosse un insulto. Se tutte le parti del progetto hanno questo atteggiamento, allora l'industria non sarà in grado di giocare affatto.

Ad essere onesti, è davvero agghiacciante. Oggi ero snocciolato, domani potresti essere tu, finché sei ancora in questo cerchio, incontrerai sempre cose simili. Come dice il vecchio proverbio, "Il vero eroismo è colui che sceglie di amare dopo aver visto la verità". È così che possiamo solo guardare al settore. Per risolvere il problema, da un lato, dipende dalla parte del progetto avere una linea di fondo morale e, dall'altro, l'industria ha anche bisogno di avere un'autodisciplina di base.

BlockBeats: Su quali informazioni vi concentrate quando il progetto è nuovo o è ancora nel periodo di promozione?

3D: Quando un progetto viene lanciato per la prima volta o nella fase di pitch, di solito mi concentro su alcune cose.

Il primo è il modello di business. Su cosa guadagna esattamente questo progetto? Dov'è la fonte del profitto? Questa è la domanda più basilare ma anche la più critica.

Il secondo è l'informazione in loco, ovvero il meccanismo di funzionamento del protocollo stesso, ad esempio se l'afflusso e il deflusso dei fondi sono regolari, se ci sono "punti bloccati" - come se c'è un blocco temporale per i fondi in entrata e in uscita, o se c'è una commissione di gestione elevata, che sono direttamente correlati all'esperienza dell'utente e al rischio.

Il terzo è l'informazione fuori sede. Voglio vedere se questo team ha già realizzato progetti, se è anonimo, se c'è il supporto delle istituzioni di investimento, chi c'è dietro e se posso ottenere alcune informazioni di base.

Inoltre, prenderò l'iniziativa di chattare con il Discord del team di progetto per vedere se il loro atteggiamento di risposta e il team sono affidabili. Alcuni guardano le relazioni di audit, ma vorrei ricordarvi che molti dei progetti che sono falliti sono stati effettivamente controllati. Al massimo, l'audit può solo mostrare se la parte del progetto è disposta a spendere soldi per portare a termine il processo e non rappresenta che il progetto sia davvero sicuro.

BlockBeats: Hai ancora fiducia nell'ecosistema Curve, nel meccanismo assicurativo e nel sistema di stablecoin?

3D: La curva si trova in una posizione scomoda. La sua nicchia originale è stata progettata principalmente per risolvere il problema di Uniswap V2 con la profondità di trading delle stablecoin. Poiché il costante meccanismo di market-making dei prodotti di V2 non funziona bene tra le stablecoin, ci vogliono molti soldi per tirare fuori la profondità. A quel tempo, Curve propose un design della curva più fluido, concentrandosi sugli exchange di stablecoin. Si può dire che si sia basata su questa differenziazione per ottenere un solido punto d'appoggio nella DeFi fin dall'inizio e, come prodotto infrastrutturale, la logica è chiara. Ma ora c'è pressione sull'attività di Floyd, e penso che stia andando in discesa, ma ho ancora fiducia nel sistema delle stablecoin.

In realtà sono stato molto ansioso ultimamente. Anche se questa volta non ho perso molto personalmente, il colpo più grande per me non sono stati i soldi, ma la fiducia. Sono sempre stato nel settore, non posso dire quanto lo ami, ma almeno ci sono impegnato da molto tempo. Ma ora sto iniziando ad avere seri dubbi sulla sostenibilità dell'industria: se tutte le parti del progetto fossero così, l'industria non sarebbe in grado di continuare.

Yishi ha ritirato tutte le mine, e ora ha intenzione di fare scorta solo di bitcoin e non toccare nient'altro. Pensi che la nostra perdita del 15,5% questa volta equivalga al rendimento annualizzato di un anno di estrazione direttamente a zero. Quello che abbiamo fatto originariamente era una strategia a rischio relativamente basso, non un guadagno giornaliero di dieci volte ad alta leva finanziaria. Hai guadagnato 15 punti in un anno e ora sono finiti in un giorno, chi può sopportarlo?