Une semaine s’est écoulée depuis le vol de Resupply, et le 26 juin, une faille de sécurité s’est produite dans le stablecoin « wstUSR Market » du protocole DeFi Resupply, entraînant la perte d’environ 9,6 millions de dollars en actifs cryptographiques. « En marchant au bord de la rivière, comment ne pas mouiller ses chaussures », le joueur de DeFi OG 3D a posté une vidéo de protection des droits sur sa chaîne Youtube pendant trois jours consécutifs, et BlockBeats a contacté 3D pour discuter avec lui d’une série d’avis après le vol en tant que témoin direct de la perte.

3D est l’un des premiers utilisateurs à participer au minage de ce protocole, et il est à la fois un acteur du minage et un créateur de contenu. Dans cette interview, nous avons entendu ses doutes, ses émotions et certaines règles tacites de l’industrie dont il ne veut pas parler. Il a parlé de « l’approbation par défaut » de Curve, de la réponse réactive du projet aux pirates informatiques et du processus de blocage et d’humiliation de la communauté lorsqu’elle défend ses droits.

Par rapport à la perte d’argent, dans la narration 3D, ce qui l’a refroidi, c’est l’ébranlement de la confiance dans l’industrie. Il admet que même s’il n’a pas perdu le plus, il est celui qui est le plus en colère - non pas à cause de l’argent, mais à cause du statut d’utilisateur ignoré et humilié. Son expérience reflète le dilemme commun à d’innombrables participants à la DeFi : des droits et des responsabilités peu clairs, aucun moyen de défendre les droits et des concessions répétées de valeurs morales.

Voici l’intégralité de la conversation :

BlockBeats : S’il vous plaît, faites une brève introduction à la 3D.

3D : Le nom que j’utilise sur le réseau est 3D, et mon travail principal en ce moment est mon propre minage, je suis dans le cercle depuis le tour d’ICO de 2017, mais j’ai vraiment commencé à me concentrer sur la DeFi et l’arbitrage à partir de l’été DeFi en 2020, et je dirige également une chaîne Youtube axée sur l’arbitrage DeFi - 3D Crypto Channel.

BlockBeats : Combien d’argent a été compromis jusqu’à présent ? Comment l’ampleur de la perte réelle doit-elle être estimée ou mesurée ?

3D : Le montant total que l’on peut voir à l’heure actuelle est essentiellement la taille du pool d’assurance – environ 38 millions de dollars.

BlockBeats : Quel est le pourcentage d’utilisateurs chinois cette fois-ci ?

3D : Je ne sais pas très bien. Cependant, cette fois-ci, les plus forts et les premiers à défendre la protection des droits étaient bien moi et Yishi, et nous étions comme si nous prenions les devants. Les utilisateurs chinois sont plus concentrés sur la voix, bien sûr, il y a quelques utilisateurs anglais, mais le volume global est relativement faible.

La période qui a suivi le vol du réapprovisionnement

BlockBeats : Quelle est la solution actuelle ?

3D : Pour faire simple, nous avons perdu 15,5 % de notre capital. La communauté aurait aimé qu’ils agissent, car la perte totale était d’environ 10 millions de dollars. L’un des développeurs de leur équipe a contribué à hauteur d’environ 1,5 million de dollars, et ils ont pris environ 800 000 dans les coffres, ce qui représente un peu plus de 20 % au total.

Leur attitude est du genre : « Vous voyez, nous avons aussi perdu de l’argent, ne le poursuivez plus. » Mais la question est de savoir pourquoi vous n’utilisez pas l’argent pour communiquer avec les pirates. Par exemple, « Vous rendez l’argent, et nous vous récompensons avec cette pièce en tant que chapeau blanc », tout le monde ne serait-il pas content ? Mais ils ne l’ont pas fait du tout.

BlockBeats : Pourquoi avez-vous choisi ce protocole pour le minage en premier lieu ?

3D : J’ai été impliqué dans le projet Resupply vers le début du mois d’avril. À ce moment-là, alors que je faisais défiler Twitter, j’ai vu une personne que je suis depuis longtemps publier du contenu lié à la publication, et plus tard, j’ai vu que Curve l’avait officiellement retweeté, ce qui a attiré mon attention.

Avec le recul, cela semble étrange d’après la logique du projet, il ne semble pas vouloir gagner de l’argent par lui-même, mais plutôt aider Curve à « stimuler » l’utilisation de crvUSD. Étant donné que crvUSD lui-même n’a aucune utilité pratique, il a conçu un mécanisme pour forcer un cas d’utilisation, puis a utilisé des incitations pour guider les gens à participer.

Du point de vue des participants, c’est comme un grand frère qui veut extraire les données de la plateforme et demande à son « petit frère » de soutenir la scène, et Curve lui a donné un certain soutien, donc nous ne pensions pas qu’il y avait quelque chose de mal à cela à l’époque.

Pour ceux d’entre nous qui font du minage ou de l’arbitrage, lorsque nous rencontrons un nouveau projet, nous allons d’abord évaluer deux points clés : le premier est le produit lui-même, comment fonctionne-t-il ? D’où vient l’argent que vous gagnez ? Le deuxième est le contexte de la partie du projet, c’est-à-dire les informations dites « sur site » et « hors site ». À mon avis, à l’époque, la logique de Resupply était relativement simple et intuitive.

BlockBeats : Et qui pensez-vous être responsable après l’accident ? Quelles décisions clés l’équipe de réapprovisionnement a-t-elle prises après que cela se soit produit ? Si vous le comparez avec des plateformes de protocole DeFi matures, quelles sont les lacunes évidentes dans leurs processus de réponse ?

3D : Je pense que le plus gros problème avec la façon dont ils gèrent les conséquences est qu’ils n’ont pas du tout le sens de la réponse à la crise. Je n’ai même pas fait les choses les plus élémentaires en premier lieu. Tout le monde peut le trouver sur Internet, et Cosine Boss l’a également mentionné : ils n’ont ni appelé publiquement les pirates, ni publié d’annonce pour expliquer la situation, et encore moins activé de mécanismes juridiques ou de responsabilité - ils n’ont même pas essayé de communiquer avec les pirates, ils étaient complètement laissez-faire.

À tout le moins, d’autres projets feront des annonces, suspendront des contrats, contacteront des chapeaux blancs et tenteront de récupérer des fonds, ce qui n’est pas fait. C’est comme si ça ne s’était pas produit.

Nous ne comprenons pas non plus pourquoi l’équipe de projet ne communique pas activement avec la communauté. L’ensemble de l’incident a entraîné une perte de près de 10 millions, et leur propre équipe n’a contribué qu’à environ 1,5 million pour un développeur, plus environ 800 000 yuans de la trésorerie du projet, qui a couvert environ 20 % de la perte. Quelle que soit la façon dont vous le regardez, il ne s’agit que d’une « signification » symbolique, d’une goutte d’eau dans l’océan.

Leur attitude est essentiellement « Vous voyez, nous perdons de l’argent aussi, ne nous dérangez plus. » Mais le problème, c’est qu’ils peuvent évidemment utiliser l’argent pour négocier avec les pirates, et faire comprendre que tant que vous rendez l’argent, cet argent sera traité comme une récompense de chapeau blanc, et tout le monde sera heureux. Mais ils n’ont pas du tout pris cette mesure.

Le message de 3D sur le forum officiel de Resupply suggérait d’essayer de parler aux pirates sous la forme d’un bonus de chapeau blanc, mais il n’a pas reçu de réponse

La première est qu’ils sont extrêmement passifs, voire complètement inactifs, dans la récupération des actifs piratés. Quelques jours se sont écoulés depuis l’incident de jeudi dernier, et il n’y a toujours pas de progrès substantiels.

Le deuxième point, c’est qu’ils sont extrêmement arrogants et indifférents à la communauté. Dès que l’incident a été révélé, beaucoup de nos utilisateurs sont allés sur Discord pour demander pour la première fois, mais ils ont directement dit qualitativement que « les gens du pool d’assurance supportent les pertes », et il n’y avait pas de place pour une discussion de base. Nous avons remis en question leur approche, affirmant que la documentation n’indiquait pas que les utilisateurs devraient supporter de telles pertes, pour être ridiculisés, attaqués et même bannis.

Ils ont également dit : « Vous obtenez des rendements annualisés de 17 %, alors vous prenez le risque. » Cette logique ne tient tout simplement pas la route, et ce n’est pas parce que nous participons à une stratégie annualisée de 17 % que nous sommes entièrement responsables du vol de protocole.

Les retours dans notre groupe ont été unanimes, non pas que perdre de l’argent était le plus inconfortable, mais que l’expérience d’être humilié et bloqué sur Discord était plus exaspérante. Il y a deux raisons principales pour lesquelles cet incident a déclenché une réaction aussi forte : l’inaction de l’équipe projet et son mépris pour les utilisateurs.

S’ils ne peuvent vraiment pas se permettre de perdre, ils peuvent exprimer clairement leur attitude, par exemple en retirant d’abord 3 millions et en laissant 7 millions à tous les utilisateurs pour qu’ils les partagent proportionnellement, ce qui est également plus fort qu’aujourd’hui. Mais leur façon de s’y prendre est de « sortir » directement les utilisateurs du pool d’assurance et d’en assumer l’entière responsabilité. Leur but est clair, c’est-à-dire maintenir le protocole en fonctionnement et ne pas laisser le projet mourir.

Le plus ironique, c’est qu’en regardant l’annonce qu’ils ont faite à l’époque, ils n’ont presque pas mentionné le montant des pertes, et ont seulement dit à la légère qu’ils avaient rencontré une échappatoire, suspendu un marché, et tout le reste s’est déroulé comme d’habitude, ce qui est très irresponsable.

Ce qui est plus grave, c’est que le pirate a frappé 10 millions de stablecoins à coût zéro à travers des failles pour vendre le marché, brisant directement le mécanisme original de surcollatéralisation, de sorte qu’il n’y a plus assez de support d’actifs derrière le stablecoin. Dans ce cas, la partie du projet n’a toujours pas suspendu l’accord et a laissé l’utilisateur effectuer le retrait par lui-même.

En conséquence, les utilisateurs qui couraient vite ont été retirés et le pool de coffre-fort a été complètement verrouillé en raison d’un délai de retrait de 7 jours. Ce qui est encore plus scandaleux, c’est qu’ils ont lancé une nouvelle proposition visant à suspendre les retraits de pool d’assurance et à geler davantage les actifs des utilisateurs. Quant à leur déclaration selon laquelle « les mauvaises créances devraient être supportées par le pool d’assurance », il n’y a aucun précédent dans les protocoles DeFi. Ils ont une fois de plus percé les résultats de l’industrie, et il n’y a aucune rationalité dans la gouvernance.

BlockBeats : Des projets ont-ils déjà utilisé ce pool d’assurance pour couvrir les pertes ?

3D : Le pool d’assurance supporte la dette noire.

Il n’y a que trois façons de participer au projet de réapprovisionnement : le don, le prêt renouvelable et le groupe LP. En fait, du point de vue des attentes des utilisateurs, le staking est le groupe de personnes le plus stable, mais ils doivent maintenant supporter tous les risques. Le problème central réside dans les attentes de l’utilisateur à l’égard du pool d’assurance, et nous pensons tous que tant que les créances irrécouvrables causées par les fluctuations du marché sont supportées.

J’ai fait une analogie à propos du pool d’assurance à l’époque, qui n’est peut-être pas très exacte, mais cela signifie probablement que c’est comme si vous aviez acheté un produit de gestion de patrimoine sur Binance, et que Binance avait été volé, et qu’il vous disait : « N’êtes-vous pas ici pour économiser de l’argent ? » Tout le monde porte la perte, surtout ceux d’entre vous qui ont acheté la gestion financière. Enfin, l’argent perdu ne sera déduit que des fonds de l’utilisateur, et les autres ne seront pas affectés.

En fait, certains échanges ont été volés dans le passé, et tous les utilisateurs supportent les pertes proportionnellement, mais cette fois-ci, ce n’était pas le cas. Ils ne font supporter à l’utilisateur de la gestion de patrimoine que la totalité de la perte. Leur logique est la suivante : « Si vous voulez gagner 2 % par an, vous devez en être responsable. » Il y a même des gens qui disent qu'« il n’y a pas de repas gratuit », ce qui signifie que vous méritez de supporter la perte de ce vol si vous prenez 17 % du revenu annualisé, ce qui est scandaleux.

Quel rôle Curve a-t-il joué dans cette tourmente ?

BlockBeats : Vous avez mentionné que vous avez participé à Resupply parce que vous faisiez confiance à Curve, alors quelle est selon vous la relation entre Resupply et Curve ? Pensez-vous que l’attitude « tranchante » de Curve à la suite de l’incident est raisonnable ?

3D : Je pense que c’est à deux niveaux. La première est la logique en surface - ce projet sert et soutient Curve, et c’est aussi un projet dans l’écosystème Curve.

Mais d’un autre côté, les personnes ayant un jugement normal feront un raisonnement raisonnable : vous voyez que le design de ce protocole est essentiellement de fournir des services à Curve, et pour le dire franchement, c’est le rôle de « petit frère ». Sinon, son existence n’a presque aucun sens, et sa logique de base est de subventionner les revenus du protocole Curve avec ses propres pièces de minage.

Vous dites que ce genre de chose qui ne demande rien en retour et qui n’est qu’une transfusion sanguine, à moins que ce ne soit de l’amour véritable, qui le fera ? Surtout son jeton, à l’époque, je pensais que le projet ne durerait pas un mois, car l’histoire globale n’était pas attrayante, et en fin de compte, il s’agissait d’apporter de nouveaux incréments au stablecoin de Curve, et il n’y avait pas de substance.

Mais ensuite, vous voyez, le prix s’est stabilisé, et il est stable depuis longtemps. Je me disais, qui va être derrière tout ça ? À bien y penser, l’explication la plus plausible est que Curve le fait tout seul. Celui qui en profite et qui est le plus motivé pour stabiliser la situation - c’est un raisonnement de bon sens, bien qu’il n’y ait pas de preuves réelles, mais tant que le cerveau est correct, vous pouvez probablement y penser.

Action du prix du jeton natif de réapprovisionnement

Avant l’accident, Curve a crié que c’était un bon projet, mais maintenant qu’il a un accident, il s’est immédiatement éclairci en disant « C’est juste un projet écologique, cela n’a rien à voir avec moi ». Cette attitude est la même que celle que l’on voit habituellement : une fois que quelque chose se produit, il s’agit d’un « travailleur temporaire ». Maintenant que même nous, les utilisateurs, avons été bannis, jusqu’où dites-vous que cela s’est produit ?

Sans l’aval de Curve, Resupply n’aurait pas été en mesure de lever autant d’argent. Nous n’avons pas été impliqués à cause de son équipe de développement, qui n’avait pas une bonne réputation. S’il n’y a qu’eux qui font un projet seuls, nous ne serons certainement pas impliqués.

Il y a deux raisons pour lesquelles nous avons vraiment choisi de participer : l’une est que son modèle économique tourne autour du stablecoin de Curve, ce qui équivaut logiquement à aider Curve à se développer, et cette relation liante fait que les gens se sentent relativement en sécurité ; La seconde est que Curve a officiellement reconnu le projet à l’époque, et l’a même approuvé.

Quant à vous dire que le parti du projet a une histoire noire, c’est vrai, mais cette fois-ci, ils n’ont pas changé de gilet, mais ont continué à utiliser leur identité d’origine pour faire des projets, ce qui peut être considéré comme une sorte de responsabilité du « vrai nom » dans une certaine mesure.

BlockBeats : La publicité officielle de Curve et l’approbation de Resupply sont-elles conjointement et solidairement responsables dans ce cas ? Comment voyez-vous le conflit d’intérêts entre « rejet a posteriori » et « promotion ex-ante » sur le plan écologique ?

3D : Je ne pense pas que le comportement de « coupe » de Curve après l’incident soit complètement déraisonnable. Si une fois je recommandais un certain pool de minage, même si je n’avais pas un centime ou un quelconque intérêt, et que quelque chose arrivait à la mine, je serais le premier à parler et à dire aux gens qui me suivent ce qui ne va pas maintenant, et je ferai un suivi.

Curve a activement soutenu le projet alors qu’il fonctionnait normalement au début, et lorsque le projet a mal tourné, il a eu une attitude « rien à voir avec moi », disant quelques mots de « regret », puis l’écartant, ce qui est vraiment inacceptable.

Comment éviter de marcher sur la fosse en exploitation minière ?

BlockBeats : Quelle est la plus grande difficulté dans la défense des droits des utilisateurs de la DeFi aujourd’hui ?

3D : Au cœur du problème se trouve le manque de clarté et le manque de réglementation dans l’industrie elle-même. Dans ce cas, il est en fait très difficile de défendre les droits.

Si vous êtes un utilisateur américain, la situation pourrait être légèrement meilleure. Parce que les États-Unis ont une juridiction au bras long, ils peuvent poursuivre leur responsabilité au-delà des frontières par des moyens légaux, et il est même possible de récupérer une partie des fonds et de signaler les pertes au gouvernement. Mais pour nous, il n’y a pratiquement pas de tel canal.

BlockBeats : Quels sont donc les moyens actuels de protéger les droits de ces grands propriétaires lésés ?

3D : Non, sinon qui voudrait faire le clown sur Internet ?

En fin de compte, nous n’avons tout simplement pas de canaux efficaces pour défendre nos droits. Tant que la partie du projet est jugée irresponsable, les utilisateurs ne peuvent compter que sur leurs propres voix et organiser des actions. Pour moi, bien que les dommages financiers n’aient pas été importants, j’ai réagi particulièrement fortement parce que j’ai ressenti cela comme une insulte. Si toutes les parties du projet ont cette attitude, alors l’industrie ne pourra pas jouer du tout.

Pour être honnête, c’est vraiment effrayant. Aujourd’hui j’ai été piqué, demain ce sera peut-être vous, tant que vous serez encore dans ce cercle, vous rencontrerez toujours des choses similaires. Comme le dit le vieil adage, « le véritable héroïsme est celui qui choisit d’aimer après avoir vu la vérité ». C’est ainsi que nous ne pouvons regarder que l’industrie. Pour résoudre le problème, d’une part, il dépend de la partie du projet d’avoir un résultat moral, et d’autre part, l’industrie doit également avoir une autodiscipline de base.

BlockBeats : Sur quelles informations vous concentrez-vous lorsque le projet est nouveau ou encore en période de promotion ?

3D : Lorsqu’un projet est lancé pour la première fois ou en phase de pitch, je me concentre généralement sur quelques choses.

Le premier est le modèle d’affaires. Sur quoi ce projet rapporte-t-il de l’argent exactement ? Où se trouve la source du profit ? C’est la question la plus fondamentale mais aussi la plus critique.

La seconde est l’information sur place, c’est-à-dire le mécanisme de fonctionnement du protocole lui-même, par exemple si l’entrée et la sortie de fonds se font sans heurts, s’il y a des « points bloqués » - comme s’il y a un verrouillage temporel pour les fonds entrants et sortants, ou s’il y a des frais de traitement élevés, qui sont directement liés à l’expérience de l’utilisateur et au risque.

Le troisième est l’information hors site. Je veux voir si cette équipe a déjà réalisé des projets, s’ils sont anonymes, s’il y a un soutien d’institutions d’investissement, qui est derrière tout cela et si je peux obtenir des informations de base.

De plus, je prendrai l’initiative de discuter avec le Discord de l’équipe projet pour voir si leur attitude de réponse et l’équipe sont fiables. Certains regardent les rapports d’audit, mais j’aimerais vous rappeler que bon nombre des projets qui ont échoué l’ont été. Tout au plus, l’audit ne peut que montrer si la partie du projet est prête à dépenser de l’argent pour suivre le processus, et ne représente pas que le projet est vraiment sûr.

BlockBeats : Avez-vous toujours confiance dans l’écosystème Curve, le mécanisme d’assurance et le système de stablecoins ?

3D : La courbe est dans une position inconfortable. Son créneau d’origine a été principalement conçu pour résoudre le problème d’Uniswap V2 avec la profondeur de trading des stablecoins. Étant donné que le mécanisme de tenue de marché de produits constants de V2 ne fonctionne pas bien parmi les stablecoins, il faut beaucoup d’argent pour extraire la profondeur. À l’époque, Curve a proposé une conception de courbe plus lisse, en se concentrant sur les échanges de stablecoins. On peut dire qu’il s’est appuyé sur cette différenciation pour s’implanter fermement dans la DeFi dès le début, et en tant que produit d’infrastructure, la logique est claire. Mais maintenant, il y a de la pression sur l’activité de Floyd, et je pense qu’elle est en train de se détériorer, mais j’ai toujours confiance dans le système des stablecoins.

En fait, j’ai été très anxieux ces derniers temps. Bien que je n’aie pas perdu grand-chose personnellement cette fois-ci, le plus grand coup pour moi n’a pas été l’argent, mais la confiance. J’ai toujours été dans l’industrie, je ne peux pas dire à quel point j’aime ça, mais au moins je m’y suis engagé depuis longtemps. Mais maintenant, je commence à avoir de sérieux doutes sur la durabilité de l’industrie – si toutes les parties du projet étaient comme ça, l’industrie ne pourrait pas continuer.

Yishi a retiré toutes les mines, et maintenant il ne prévoit que de faire le plein de bitcoins et de ne rien toucher d’autre. Vous pensez que notre perte de 15,5 % cette fois-ci est équivalente au rendement annualisé d’un an de minage directement à zéro. À l’origine, nous avons adopté une stratégie à risque relativement faible, et non un gain quotidien dix fois plus élevé à effet de levier. Il a gagné 15 points en un an, et maintenant il est parti en un jour, qui peut le supporter ?