En uke har gått siden Resupply ble stjålet, og 26. juni skjedde det et sikkerhetsbrudd i stablecoin "wstUSR Market" til DeFi-protokollen Resupply, noe som resulterte i tap av rundt 9,6 millioner dollar i kryptoaktiva. "Å gå ved elven, hvordan kan du ikke bli våt på skoene dine", DeFi OG-spiller 3D la ut en rettighetsbeskyttelsesvideo på Youtube-kanalen sin i tre dager på rad, og BlockBeats kontaktet 3D for å chatte med ham om en rekke anmeldelser etter tyveriet som et førstehåndsvitne til tapet.

3D er en av de tidligste brukerne som deltar i mining av denne protokollen, og han er både en mining-spiller og en innholdsskaper. I dette intervjuet hørte vi hans tvil, følelser og noen uuttalte regler i bransjen som han ikke vil snakke om. Han snakket om Curves «standardgodkjenning», prosjektets reaktive respons på hackere, og prosessen med at fellesskapet blir blokkert og ydmyket når de forsvarer rettighetene sine.

Sammenlignet med tapet av penger, i 3D-fortellingen, var det som kjølte ham rystelsen av tilliten til bransjen. Han innrømmer at selv om han ikke har tapt mest, er han den som er mest sint - ikke på grunn av pengene, men på grunn av den ignorerte og ydmykede brukerstatusen. Hans erfaring gjenspeiler det vanlige dilemmaet til utallige DeFi-deltakere - uklare rettigheter og ansvar, ingen måte å forsvare rettigheter på og gjentatte innrømmelser av moralsk bunnlinje.

Her er hele samtalen:

BlockBeats: Gi 3D en kort introduksjon.

3D: Navnet jeg bruker på nettverket er 3D, og hovedjobben min for øyeblikket er min egen gruvedrift, jeg har vært i sirkelen siden 2017-runden av ICO, men jeg begynte virkelig å fokusere på DeFi og arbitrasje fra DeFi-sommeren i 2020, og jeg driver også en Youtube-kanal med fokus på DeFi-arbitrasje – 3D Crypto Channel.

BlockBeats: Hvor mye penger har blitt kompromittert så langt? Hvordan skal omfanget av det faktiske tapet estimeres eller måles?

3D: Det totale beløpet som kan sees for øyeblikket er i utgangspunktet størrelsen på forsikringspoolen – rundt 38 millioner dollar.

BlockBeats: Hvor mange prosent av kinesiske brukere er der denne gangen?

3D: Jeg vet ikke så godt. Men denne gangen var det meg og Yishi som var de mest høylytte og første som snakket om rettighetsbeskyttelse, og vi var ensbetydende med å ta ledelsen. Kinesiske brukere er mer konsentrert om stemmen, selvfølgelig er det noen engelske brukere, men det totale volumet er relativt lite.

Perioden etter at Resupply ble stjålet

BlockBeats: Hva er den nåværende løsningen?

3D: For å si det enkelt, vi mistet 15,5 % av hovedstolen. Samfunnet ville ha ønsket at de tok grep, siden det totale tapet var rundt 10 millioner dollar. En av utviklerne på teamet deres bidro med rundt 1,5 millioner, og de tok rundt 800 000 fra kassen, som er litt over 20 % totalt.

Holdningen deres er som: "Du ser at vi har tapt penger også, ikke forfølg det lenger." Men spørsmålet er, hvorfor bruker du ikke pengene til å kommunisere med hackere? For eksempel, "Du gir pengene tilbake, og vi belønner deg med denne delen som en hvit hatt," ville ikke alle være fornøyde? Men de gjorde det ikke i det hele tatt.

BlockBeats: Hvorfor valgte du denne protokollen for mining i utgangspunktet?

3D: Jeg var involvert i Resupply-prosjektet rundt begynnelsen av april. På den tiden, da jeg scrollet gjennom Twitter, så jeg en person jeg har fulgt lenge legge ut relatert innhold, og så senere at Curve offisielt retweetet det, noe som fanget oppmerksomheten min.

I ettertid ser det rart ut fra logikken i prosjektet, det ser ikke ut til å ønske å tjene penger på egen hånd, men mer som å hjelpe Curve med å "øke" bruken av crvUSD. Siden crvUSD i seg selv ikke har noen praktisk bruk, designet han en mekanisme for å tvinge frem en brukssak, og brukte deretter insentiver for å veilede folk til å delta.

Fra perspektivet til oss deltakere er dette som en storebror som ønsker å hente plattformdataene og ber sin "lillebror" om å støtte scenen, og Curve ga ham litt støtte, så vi trodde ikke det var noe galt med det på det tidspunktet.

For de av oss som driver med gruvedrift eller arbitrasje, når vi møter et nytt prosjekt, vil vi først evaluere to nøkkelpunkter: det første er selve produktet, hvordan fungerer det? Hvor kommer pengene du tjener fra? Den andre er bakgrunnen til prosjektpartiet, det vil si den såkalte "on-site" og "off-site" informasjonen. Etter min vurdering på den tiden var logikken i Resupply relativt enkel og intuitiv.

BlockBeats: Og hvem tror du er ansvarlig etter ulykken? Hvilke viktige avgjørelser tok Resupply-teamet etter at det skjedde? Hvis du sammenligner det med modne DeFi-protokollplattformer, hva er de åpenbare hullene i responsprosessene deres?

3D: Jeg tror det største problemet med hvordan de håndterer ettervirkningene er at de ikke har en følelse av kriserespons i det hele tatt. Jeg gjorde ikke engang de mest grunnleggende tingene i utgangspunktet. Alle kan finne dette på Internett, og Cosine Boss nevnte det også: de kalte verken ut hackerne offentlig, og de ga heller ikke ut en kunngjøring for å forklare situasjonen, enn si aktiverte noen juridiske eller ansvarlighetsmekanismer - de prøvde ikke engang å kommunisere med hackerne, de var helt laissez-faire.

I det minste vil andre prosjekter komme med kunngjøringer, suspendere kontrakter, kontakte hvite hatter og prøve å få tilbake midler, som ikke er ferdige. Det er som om det ikke skjedde.

Vi forstår heller ikke hvorfor prosjektteamet ikke kommuniserer aktivt med fellesskapet. Hele hendelsen førte til et tap på nesten 10 millioner, og deres eget team bidro bare med rundt 1,5 millioner for en utvikler, pluss rundt 800 000 yuan fra prosjektkassen, som dekket omtrent 20 % av tapet. Uansett hvordan du ser på det, er dette bare en symbolsk "mening", en dråpe i bøtta.

Holdningen deres er i bunn og grunn "Du ser at vi taper penger også, ikke bry oss mer." Men problemet er at de åpenbart kan bruke pengene til å forhandle med hackerne, og gjøre det klart at så lenge du returnerer pengene, vil disse pengene bli behandlet som en white hat-belønning, og alle vil være fornøyde. Men de tok ikke det tiltaket i det hele tatt.

3Ds melding på det offisielle Resupply-forumet foreslo å prøve å snakke med hackere i form av en white hat-bonus, men den har ikke fått svar

Den første er at de er ekstremt passive eller til og med helt inaktive når det gjelder å gjenopprette hackede eiendeler. Det har gått noen dager siden hendelsen sist torsdag, og det er fortsatt ingen vesentlig fremgang.

Det andre poenget er at de er ekstremt arrogante og likegyldige til fellesskapet. Så snart hendelsen kom ut, gikk mange av brukerne våre til Discord for å spørre for første gang, men de sa direkte kvalitativt at "menneskene i forsikringspoolen bærer tapene", og det var ikke rom for grunnleggende diskusjon. Vi stilte spørsmål ved tilnærmingen deres, og sa at dokumentasjonen ikke sa at brukere skulle bære slike tap, bare for å bli latterliggjort, angrepet og til og med utestengt.

De sa også: "Du gir 17 % årlig avkastning, så du tar risikoen." Denne logikken holder rett og slett ikke vann, og bare fordi vi deltar i en 17 % årlig strategi, betyr det ikke at vi er fullt ansvarlige for protokolltyveriet.

Tilbakemeldingene i gruppen vår var enstemmige, ikke at det å tape penger var det mest ubehagelige, men at opplevelsen av å bli ydmyket og blokkert i Discord var mer irriterende. Det er to hovedårsaker til at denne hendelsen har utløst en så sterk reaksjon: passiviteten til prosjektteamet og deres forakt for brukerne.

Hvis de virkelig ikke har råd til å tape, kan de gjøre holdningen sin klar, for eksempel å ta ut 3 millioner først, og la 7 millioner være igjen for alle brukere å dele proporsjonalt, noe som også er sterkere enn nå. Men deres måte å håndtere det på er å direkte "ta ut" brukerne av forsikringspoolen og ta fullt ansvar. Hensikten deres med å gjøre dette er klar, som er å holde protokollen i gang og ikke la prosjektet dø.

Det mest ironiske er at når de ser på kunngjøringen de kom med den gangen, nevnte de nesten ikke mengden tap, og sa bare lett at de møtte et smutthull, suspenderte et marked, og alt annet fortsatte som vanlig, noe som er veldig uansvarlig.

Det som er mer alvorlig er at hackeren preget 10 millioner stablecoins til null kostnad gjennom smutthull for å selge markedet, og direkte brøt den opprinnelige oversikkerhetsmekanismen, slik at det ikke lenger er nok aktivastøtte bak stablecoinen. I dette tilfellet suspenderte prosjektparten fortsatt ikke avtalen og lot brukeren betjene tilbaketrekkingen selv.

Som et resultat ble brukere som løp fort trukket tilbake, og hvelvbassenget ble fullstendig låst på grunn av en 7-dagers forsinkelse i uttaket. Det som er enda mer opprørende er at de har lansert et nytt forslag om å suspendere uttak av forsikringspooler og fryse brukermidler ytterligere. Når det gjelder deres uttalelse om at "tap på gjeld bør bæres av forsikringspoolen", er det ingen presedens i DeFi-protokoller i det hele tatt. De har nok en gang brutt gjennom bunnlinjen i bransjen, og det er ingen rasjonalitet i styringen i det hele tatt.

BlockBeats: Har noen prosjekter noen gang brukt denne forsikringspoolen til å dekke tap før?

3D: Forsikringspoolen bærer den svarte gjelden i det hele tatt.

Det er bare tre måter å delta i Resupply-prosjektet på, pant, revolverende lån og gruppe-LP. Faktisk, fra perspektivet til brukernes forventninger, er staking den mest stabile gruppen mennesker i den, men nå må de bære all risikoen. Kjerneproblemet ligger i brukerens forventning til forsikringspoolen, og vi tror alle at så lenge tapet på gjelden forårsaket av markedssvingninger bæres.

Jeg laget en analogi om forsikringspoolen på den tiden, som kanskje ikke er veldig nøyaktig, men det betyr sannsynligvis at det er som om du kjøpte et formuesforvaltningsprodukt på Binance, og Binance ble stjålet, og det forteller deg: "Er du ikke her for å spare penger?" Alle bærer tapet, spesielt de av dere som har kjøpt økonomistyring.» Til slutt vil de tapte pengene kun bli trukket fra brukerens midler, og andre vil ikke bli påvirket.

Faktisk har noen børser blitt stjålet tidligere, og alle brukere bærer tapene proporsjonalt, men denne gangen var det ikke det. De får bare formuesforvaltningsbrukeren til å bære hele tapet. Logikken deres er: "Hvis du vil tjene 2 % per år, må du være ansvarlig for det." Det er til og med folk som sier at "det er ikke noe slikt som en gratis lunsj", noe som betyr at du fortjener å bære tapet av dette tyveriet hvis du tar 17 % av den årlige inntekten, noe som er opprørende.

Hvilken rolle spilte Curve i denne uroen?

BlockBeats: Du nevnte at du deltok i Resupply fordi du stolte på Curve, så hva tror du er forholdet mellom Resupply og Curve? Synes du Curves «skjærende» holdning i kjølvannet av hendelsen er rimelig?

3D: Jeg tror det kan sees på to nivåer. Den første er logikken på overflaten - dette prosjektet tjener og støtter Curve, og det er også et prosjekt i Curve-økosystemet.

Men på den annen side vil folk med normal dømmekraft komme med et rimelig resonnement: du ser at utformingen av denne protokollen i utgangspunktet er å tilby tjenester til Curve, og for å si det rett ut, det er rollen som "lillebror". Ellers er dens eksistens nesten meningsløs, og kjernelogikken er å subsidiere Curves protokollinntekter med sine egne gruvemynter.

Du sier at denne typen ting som ikke ber om noe til gjengjeld og bare er en blodoverføring, med mindre det er sann kjærlighet, hvem vil gjøre det? Spesielt tokenet, på den tiden trodde jeg at prosjektet ikke ville vare i en måned, fordi den generelle historien ikke var attraktiv, og til syvende og sist var det for å bringe noen nye trinn til Curves stablecoin, og det var ingen substans.

Men så ser du, prisen har stabilisert seg, og den har vært stabil lenge. Jeg tenkte, hvem kommer til å stå bak dette? Når jeg tenker på det, er den mest plausible forklaringen at Curve gjør det på egen hånd. Den som drar nytte av dette, og som er mest motivert for å stabilisere situasjonen - dette er et resonnement basert på sunn fornuft, selv om det ikke er noen reelle bevis, men så lenge hjernen har rett, kan du sannsynligvis tenke på dette.

Gjenforsyn opprinnelig tokenprishandling

Før ulykken ropte Curve at det var et godt prosjekt, men nå som det har en ulykke, ryddet det umiddelbart opp og sa "Det er bare et økologisk prosjekt, det har ingenting med meg å gjøre". Denne holdningen er den samme som noen av nyhetene vi vanligvis ser: Når noe skjer, er det "en midlertidig arbeider". Nå som til og med vi, brukerne, har blitt utestengt, hvor langt sier du at dette har skjedd?

Uten Curves godkjenning ville ikke Resupply vært i stand til å skaffe så mye penger. Vi var ikke involvert på grunn av utviklingsteamet – som faktisk ikke hadde et godt rykte. Hvis det bare er dem som gjør et prosjekt alene, vil vi definitivt ikke være involvert.

Det er to grunner til at vi virkelig valgte å delta: den ene er at forretningsmodellen dreier seg om Curves stablecoin, som logisk sett tilsvarer å hjelpe Curve med å vokse, og dette bindende forholdet får folk til å føle seg relativt trygge; Den andre er at Curve offisielt anerkjente prosjektet på den tiden, og til og med støttet det.

Når det gjelder deg som sier at prosjektpartiet har en svart historie, er det sant, men denne gangen skiftet de ikke vester, men fortsatte å bruke sin opprinnelige identitet til å gjøre prosjekter, noe som til en viss grad kan betraktes som et slags «ekte navn»-ansvar.

BlockBeats: Er Curves offisielle publisitet og godkjenning av Resupply solidarisk ansvarlig i denne saken? Hvordan ser du på interessekonflikten mellom «post-facto forkasting» og «ex ante-promotering» på den økologiske siden?

3D: Jeg synes ikke Curves «skjærende» oppførsel etter hendelsen er helt urimelig. Hvis jeg en gang anbefalte en bestemt gruvepool, selv om jeg ikke hadde en krone eller noen interesse, og noe skjedde med gruven, ville jeg være den første til å si ifra og fortelle menneskene som følger meg hva som er galt nå, og jeg vil følge opp.

Curve støttet aktivt prosjektet da det kjørte normalt i begynnelsen, og når prosjektet gikk galt, hadde det en "ingenting å gjøre med meg"-holdning, sa noen ord med "angrer", og deretter børstet det av, noe som egentlig er uakseptabelt.

Hvordan unngå å tråkke på gropen i gruvedrift?

BlockBeats: Hva er den største vanskeligheten med å forsvare rettighetene til DeFi-brukere i dag?

3D: Kjernen i problemet er mangelen på klarhet og mangelen på regulering i selve bransjen. I dette tilfellet er det faktisk veldig vanskelig å forsvare rettigheter.

Hvis du er en amerikansk bruker, kan situasjonen være litt bedre. Fordi USA har langarmet jurisdiksjon, kan de forfølge ansvar på tvers av landegrenser gjennom lovlige midler, og det er til og med mulig å få tilbake noen av midlene og rapportere tap til regjeringen. Men for oss er det i utgangspunktet ingen slik kanal.

BlockBeats: Så hva er de nåværende måtene å beskytte rettighetene til disse store skadede eierne på?

3D: Nei, hvem vil ellers være en klovn på Internett?

Til syvende og sist har vi rett og slett ingen effektive kanaler for å forsvare rettighetene våre. Så lenge prosjektparten er fast bestemt på å være uansvarlig, kan brukerne bare stole på sine egne stemmer og organisere handlinger. For meg, selv om den økonomiske skaden ikke var stor, reagerte jeg spesielt sterkt fordi jeg følte at det var en fornærmelse. Hvis alle prosjektparter har denne holdningen, vil ikke bransjen kunne spille i det hele tatt.

For å være ærlig er det veldig skremmende. I dag ble jeg pittet, i morgen kan det være deg, så lenge du fortsatt er i denne sirkelen, vil du alltid møte lignende ting. Som det gamle ordtaket sier: "Ekte heltemot er den som velger å elske etter å ha sett sannheten." Det er slik vi bare kan se på bransjen. For å løse problemet er det på den ene siden avhengig av at prosjektparten har en moralsk bunnlinje, og på den andre siden må bransjen også ha grunnleggende selvdisiplin.

BlockBeats: Hvilken informasjon fokuserer du på når prosjektet er nytt eller fortsatt i promoteringsperioden?

3D: Når et prosjekt først lanseres eller er i pitch-fasen, fokuserer jeg vanligvis på et par ting.

Den første er forretningsmodellen. Hva tjener dette prosjektet penger på? Hvor er kilden til profitt? Dette er det mest grunnleggende, men også det mest kritiske spørsmålet.

Den andre er informasjonen på stedet, det vil si driftsmekanismen til selve protokollen, for eksempel om inn- og utstrømningen av midler er jevn, om det er "fastlåste punkter" - for eksempel om det er en tidslås for innkommende og utgående midler, eller om det er et høyt håndteringsgebyr, som er direkte relatert til brukeropplevelse og risiko.

Den tredje er informasjon utenfor stedet. Jeg vil se om dette teamet har gjort prosjekter før, om det er anonymt, om det er støtte fra investeringsinstitusjoner, hvem som står bak, og om jeg kan få litt bakgrunnsinformasjon.

I tillegg vil jeg ta initiativ til å chatte med prosjektteamets Discord for å se om deres responsholdning og teamet er pålitelig. Noen ser på revisjonsrapporter, men jeg vil minne om at mange av prosjektene som har mislyktes faktisk har blitt revidert. På det meste kan revisjonen bare vise om prosjektparten er villig til å bruke penger for å gå gjennom prosessen, og representerer ikke at prosjektet virkelig er trygt.

BlockBeats: Har du fortsatt tillit til Curve-økosystemet, forsikringsmekanismen og stablecoin-systemet?

3D: Kurven er i en vanskelig posisjon. Den opprinnelige nisjen ble først og fremst designet for å løse Uniswap V2s problem med stablecoin-handelsdybde. Fordi V2s konstante produktmarkedsmekanisme ikke fungerer bra blant stablecoins, krever det mye penger for å trekke ut dybden. På den tiden foreslo Curve et jevnere kurvedesign, med fokus på stablecoin-utvekslinger. Det kan sies at de stolte på denne differensieringen for å få et godt fotfeste i DeFi fra begynnelsen, og som et infrastrukturprodukt er logikken klar. Men nå er det press på Floyds virksomhet, og jeg tror det går nedoverbakke, men jeg har fortsatt tillit til stablecoin-systemet.

Jeg har faktisk vært veldig engstelig i det siste. Selv om jeg ikke tapte mye personlig denne gangen, var det største slaget for meg ikke penger, men selvtillit. Jeg har alltid vært i bransjen, jeg kan ikke si hvor mye jeg elsker det, men jeg har i det minste vært forpliktet til det lenge. Men nå begynner jeg å få alvorlig tvil om bærekraften til bransjen – hvis alle prosjektpartene var slik, ville ikke industrien kunne fortsette.

Yishi har trukket ut alle gruvene, og nå planlegger han bare å hamstre bitcoin og ikke røre noe annet. Du tror at tapet vårt på 15,5 % denne gangen tilsvarer den årlige avkastningen av ett års gruvedrift direkte til null. Det vi opprinnelig gjorde var en strategi med relativt lav risiko, ikke en høy innflytelse, tidoblet daglig gevinst. Tjente 15 poeng på et år, og nå er det borte på en dag, hvem tåler det?