Minął tydzień od kradzieży Resupply, a 26 czerwca doszło do naruszenia bezpieczeństwa w stablecoinie "wstUSR Market" protokołu DeFi Resupply, w wyniku czego utracono około 9,6 miliona dolarów w aktywach kryptograficznych. "Spacerując nad rzeką, jak możesz nie zmoczyć butów", gracz DeFi OG 3D opublikował film o ochronie praw na swoim kanale Youtube przez trzy kolejne dni, a BlockBeats skontaktował się z 3D, aby porozmawiać z nim o serii recenzji po kradzieży jako naoczny świadek straty.

3D jest jednym z pierwszych użytkowników, którzy wzięli udział w wydobyciu tego protokołu i jest zarówno graczem wydobywczym, jak i twórcą treści. W tym wywiadzie usłyszeliśmy jego wątpliwości, emocje i pewne niepisane zasady w branży, o których nie chce rozmawiać. Mówił o "domyślnym poparciu Curve", reaktywnej reakcji projektu na hakerów oraz procesie blokowania i upokarzania społeczności podczas obrony swoich praw.

W porównaniu ze stratą pieniędzy, w narracji 3D, tym, co go zmroziło, było zachwianie zaufania do branży. Przyznaje, że choć to nie on stracił najwięcej, to właśnie on jest najbardziej zły – nie z powodu pieniędzy, ale z powodu statusu zlekceważonego i upokorzonego użytkownika. Jego doświadczenie odzwierciedla powszechny dylemat niezliczonych uczestników DeFi - niejasne prawa i obowiązki, brak możliwości obrony praw i powtarzające się ustępstwa w zakresie moralnego zysku.

Oto cała rozmowa:

BlockBeats: Proszę krótko przedstawić 3D.

3D: Nazwa, której używam w sieci, to 3D, a moją główną pracą w tej chwili jest własne wydobycie, jestem w kręgu od rundy ICO w 2017 roku, ale tak naprawdę zacząłem skupiać się na DeFi i arbitrażu od DeFi Summer w 2020 roku, a także prowadzę kanał Youtube skupiający się na arbitrażu DeFi - 3D Crypto Channel.

BlockBeats: Ile pieniędzy zostało do tej pory skompromitowanych? W jaki sposób należy oszacować lub zmierzyć skalę rzeczywistej straty?

3D: Całkowita kwota pieniędzy, którą można zobaczyć w tej chwili, to w zasadzie wielkość puli ubezpieczeniowej – około 38 milionów dolarów.

BlockBeats: Jaki procent chińskich użytkowników jest tym razem?

3D: Nie wiem zbyt dobrze. Tym razem jednak najgłośniej i jako pierwsi opowiedzieliśmy się za ochroną praw człowieka i byliśmy ja i Yishi, i byliśmy równoznaczni z objęciem prowadzenia. Chińscy użytkownicy są bardziej skoncentrowani na głosie, oczywiście są użytkownicy angielscy, ale ogólna głośność jest stosunkowo niewielka.

Okres po kradzieży zaopatrzenia

BlockBeats: Jakie jest obecne rozwiązanie?

3D: Mówiąc prościej, straciliśmy 15,5% naszego kapitału. Społeczność chciałaby, aby podjęli działania, ponieważ łączna strata wyniosła około 10 milionów dolarów. Jeden z deweloperów w ich zespole dołożył około 1,5 miliona, a z kasy pobrali około 800 000, czyli w sumie nieco ponad 20%.

Ich postawa jest taka: "Widzisz, my też straciliśmy pieniądze, nie goń za nimi więcej". Ale pytanie brzmi, dlaczego nie wykorzystasz pieniędzy do komunikowania się z hakerami? Na przykład: "Ty oddajesz pieniądze, a my nagradzamy cię tą częścią w postaci białego kapelusza", czyż wszyscy nie byliby szczęśliwi? Ale wcale tego nie zrobili.

BlockBeats: Dlaczego w ogóle wybraliście ten protokół do kopania?

3D: Byłem zaangażowany w projekt Resupply na początku kwietnia. W tym czasie, kiedy przewijałem Twittera, zobaczyłem, że osoba, którą obserwuję od dłuższego czasu, publikuje treści związane z tą sprawą, a później zobaczyłem, że Curve oficjalnie je retweetował, co przykuło moją uwagę.

Z perspektywy czasu wygląda to dziwnie z punktu widzenia logiki projektu, nie wydaje się, aby chciał zarabiać pieniądze na własną rękę, ale bardziej jak pomoc Curve w "zwiększeniu" wykorzystania crvUSD. Ponieważ crvUSD sam w sobie nie ma praktycznego zastosowania, zaprojektował mechanizm, aby wymusić przypadek użycia, a następnie wykorzystał zachęty, aby skłonić ludzi do uczestnictwa.

Z perspektywy nas, uczestników, jest to jak starszy brat, który chce wyciągnąć dane z platformy i prosi swojego "młodszego brata" o wsparcie sceny, a Curve udzielił mu pewnego poparcia, więc nie sądziliśmy, że w tamtym czasie było w tym coś złego.

Dla tych z nas, którzy zajmują się kopaniem lub arbitrażem, gdy napotkają nowy projekt, najpierw ocenimy dwa kluczowe punkty: pierwszym z nich jest sam produkt, jak to działa? Skąd pochodzą pieniądze, które zarabiasz? Drugi to tło strony projektowej, czyli tzw. informacje "on-site" i "off-site". W mojej ówczesnej ocenie logika Resupply była stosunkowo prosta i intuicyjna.

BlockBeats: A jak myślisz, kto jest odpowiedzialny za wypadek? Jakie kluczowe decyzje podjął zespół ds. zaopatrzenia po tym wydarzeniu? Jeśli porównasz to z dojrzałymi platformami protokołów DeFi, jakie są oczywiste luki w ich procesach odpowiedzi?

3D: Myślę, że największym problemem związanym z tym, jak radzą sobie z następstwami, jest to, że w ogóle nie mają poczucia reagowania kryzysowego. W ogóle nie robiłem najbardziej podstawowych rzeczy. Każdy może to znaleźć w Internecie, a Cosine Boss również o tym wspomniał: ani publicznie nie wezwali hakerów, ani nie wydali komunikatu wyjaśniającego sytuację, nie mówiąc już o uruchomieniu jakichkolwiek mechanizmów prawnych lub odpowiedzialności - nawet nie próbowali komunikować się z hakerami, byli całkowicie leseferzyści.

Przynajmniej inne projekty będą ogłaszać, zawieszać umowy, kontaktować się z białymi kapeluszami i próbować odzyskać fundusze, a wszystko to nie zostanie zrobione. To tak, jakby to się nie wydarzyło.

Nie rozumiemy też, dlaczego zespół projektowy nie komunikuje się aktywnie ze społecznością. Cały incydent doprowadził do straty w wysokości prawie 10 milionów, a ich własny zespół dołożył tylko około 1,5 miliona dla dewelopera, plus około 800 000 juanów ze skarbca projektu, co pokryło około 20% straty. Jakkolwiek by na to nie patrzeć, jest to tylko symboliczne "znaczenie", kropla w morzu potrzeb.

Ich postawa jest w zasadzie następująca: "Widzisz, my też tracimy pieniądze, nie zawracaj nam więcej głowy". Problem polega jednak na tym, że mogą oczywiście wykorzystać te pieniądze do negocjacji z hakerami i dać jasno do zrozumienia, że tak długo, jak zwrócisz pieniądze, pieniądze te będą traktowane jako nagroda w postaci białego kapelusza i wszyscy będą szczęśliwi. Ale w ogóle nie podjęli tego środka.

Wiadomość 3D na oficjalnym forum Resupply sugerowała próbę rozmowy z hakerami w formie premii w postaci białego kapelusza, ale nie otrzymała odpowiedzi

Pierwszym z nich jest to, że są wyjątkowo pasywni lub nawet całkowicie nieaktywni w odzyskiwaniu zhakowanych aktywów. Od incydentu z zeszłego czwartku minęło kilka dni, a nadal nie ma znaczącego postępu.

Drugą kwestią jest to, że są niezwykle aroganccy i obojętni wobec społeczności. Gdy tylko incydent wyszedł na jaw, wielu naszych użytkowników po raz pierwszy poszło na Discorda, aby zapytać, ale bezpośrednio jakościowo stwierdzili, że "ludzie w puli ubezpieczeniowej ponoszą straty" i nie było miejsca na podstawową dyskusję. Zakwestionowaliśmy ich podejście, mówiąc, że dokumentacja nie stwierdza, że użytkownicy powinni ponosić takie straty, tylko po to, by zostać wyśmianymi, zaatakowanymi, a nawet zbanowanymi.

Powiedzieli również: "Osiągasz 17% rocznych zwrotów, więc podejmujesz ryzyko". Ta logika po prostu nie trzyma się kupy, a to, że uczestniczymy w strategii 17% w skali roku, nie oznacza, że jesteśmy w pełni odpowiedzialni za kradzież protokołu.

Opinie w naszej grupie były jednogłośne, nie dlatego, że utrata pieniędzy była najbardziej niewygodna, ale że doświadczenie bycia upokorzonym i zablokowanym na Discordzie było bardziej irytujące. Istnieją dwa główne powody, dla których ten incydent wywołał tak silną reakcję: bezczynność zespołu projektowego i ich pogarda dla użytkowników.

Jeśli naprawdę nie mogą sobie pozwolić na przegraną, mogą jasno wyrazić swoje nastawienie, na przykład najpierw wyjmując 3 miliony i pozostawiając 7 milionów wszystkim użytkownikom do proporcjonalnego podziału, co jest również silniejsze niż teraz. Ale ich sposobem na radzenie sobie z tym jest bezpośrednie "wyeliminowanie" użytkowników z puli ubezpieczeniowej i wzięcie na siebie pełnej odpowiedzialności. Ich cel jest jasny, a jest nim utrzymanie działania protokołu i nie dopuszczenie do śmierci projektu.

Najbardziej ironiczną rzeczą jest to, że patrząc na ogłoszenie, które wydali w tamtym czasie, prawie nie wspomnieli o kwocie strat, a jedynie lekko powiedzieli, że natknęli się na lukę prawną, zawiesili rynek i wszystko inne potoczyło się jak zwykle, co jest bardzo nieodpowiedzialne.

Co poważniejsze, haker wybił 10 milionów stablecoinów przy zerowych kosztach przez luki prawne, aby sprzedać rynek, bezpośrednio łamiąc pierwotny mechanizm nadzabezpieczenia, tak że za stablecoinem nie ma już wystarczającego wsparcia dla aktywów. W tym przypadku strona projektu nadal nie zawiesiła umowy i pozwoliła użytkownikowi samodzielnie dokonać odstąpienia od umowy.

W rezultacie użytkownicy, którzy działali szybko, zostali wycofani, a pula skarbca została całkowicie zablokowana z powodu 7-dniowego opóźnienia w wypłacie. Jeszcze bardziej oburzające jest to, że wprowadzili nową propozycję zawieszenia wypłat z puli ubezpieczeń i dalszego zamrożenia aktywów użytkowników. Jeśli chodzi o ich stwierdzenie, że "złe długi powinny być ponoszone przez pulę ubezpieczeniową", nie ma żadnego precedensu w protokołach DeFi. Po raz kolejny przełamali dolną linię finansową branży, a w zarządzaniu nie ma żadnej racjonalności.

BlockBeats: Czy jakieś projekty kiedykolwiek korzystały wcześniej z tej puli ubezpieczeń do pokrycia strat?

3D: Pula ubezpieczeniowa w ogóle ponosi dług.

Istnieją tylko trzy sposoby uczestnictwa w projekcie Resupply: zastaw, pożyczka odnawialna i grupowy LP. Tak naprawdę z punktu widzenia oczekiwań użytkowników, staking jest w nim najbardziej stabilną grupą osób, ale teraz to oni muszą ponieść całe ryzyko. Zasadniczą kwestią są oczekiwania użytkownika dotyczące puli ubezpieczeń i wszyscy wierzymy, że tak długo, jak długo spłacany jest nieściągalny dług spowodowany wahaniami rynkowymi.

Użyłem wtedy analogii do puli ubezpieczeń, która może nie być zbyt dokładna, ale prawdopodobnie oznacza to, że to tak, jakbyś kupił produkt do zarządzania majątkiem na Binance, a Binance został skradziony i mówi ci: "Czy nie jesteś tutaj, aby oszczędzać pieniądze?" Wszyscy ponoszą stratę, zwłaszcza ci z Was, którzy kupili zarządzanie finansami. Wreszcie, utracone pieniądze zostaną odjęte tylko od środków użytkownika, a inne nie zostaną dotknięte.

W rzeczywistości niektóre giełdy zostały skradzione w przeszłości, a wszyscy użytkownicy ponoszą straty proporcjonalnie, ale tym razem tak nie było. Sprawiają one jedynie, że użytkownik zarządzania majątkiem ponosi całą stratę. Ich logika jest następująca: "Jeśli chcesz zarabiać 2% rocznie, musisz być za to odpowiedzialny". Są nawet ludzie, którzy mówią, że "nie ma czegoś takiego jak darmowy lunch", co oznacza, że zasługujesz na poniesienie straty z powodu tej kradzieży, jeśli weźmiesz 17% rocznego dochodu, co jest oburzające.

Jaką rolę w tym zamieszaniu odegrał Curve?

BlockBeats: Wspomniałeś, że brałeś udział w Resupply, ponieważ ufałeś Curve, więc jak myślisz, jaki jest związek między Resupply a Curve? Czy uważasz, że "cięcie" postawy Curve po incydencie jest rozsądne?

3D: Myślę, że można to zobaczyć na dwóch poziomach. Pierwszym z nich jest logika na pierwszy rzut oka - ten projekt służy i wspiera Curve, a także jest projektem w ekosystemie Curve.

Ale z drugiej strony, ludzie o normalnym osądzie przyjmą rozsądne rozumowanie: widzisz, projekt tego protokołu polega w zasadzie na świadczeniu usług na rzecz Curve, a mówiąc wprost, jest to rola "młodszego brata". W przeciwnym razie jego istnienie jest prawie bez znaczenia, a jego podstawową logiką jest subsydiowanie przychodów z protokołu Curve za pomocą własnych monet wydobywczych.

Mówicie, że tego rodzaju rzecz, która nie prosi o nic w zamian i jest wyłącznie transfuzją krwi, jeśli nie jest to prawdziwa miłość, to kto to zrobi? Zwłaszcza jego token, w tamtym czasie myślałem, że projekt nie potrwa miesiąca, ponieważ ogólna historia nie była atrakcyjna, a w ostatecznym rozrachunku miała przynieść kilka nowych przyrostów do stablecoina Curve, a nie było żadnej treści.

Ale potem widzisz, cena się ustabilizowała i była stabilna przez długi czas. Zastanawiałem się, kto za tym stoi? Jeśli się nad tym zastanowić, najbardziej prawdopodobnym wyjaśnieniem jest to, że Curve robi to na własną rękę. Kto na tym korzysta i kto jest najbardziej zmotywowany do ustabilizowania sytuacji - to jest zdroworozsądkowe rozumowanie, chociaż nie ma prawdziwych dowodów, ale tak długo, jak mózg ma rację, prawdopodobnie możesz o tym pomyśleć.

Uzupełnij akcję cenową tokena natywnego

Przed wypadkiem Curve krzyczał, że to dobry projekt, ale teraz, gdy ma wypadek, natychmiast się wyjaśnił, mówiąc: "To tylko projekt ekologiczny, to nie ma nic wspólnego ze mną". To podejście jest takie samo, jak w przypadku niektórych wiadomości, które zwykle widzimy: jeśli coś się dzieje, to jest to "pracownik tymczasowy". Teraz, gdy nawet my, użytkownicy, zostaliśmy zbanowani, jak daleko twierdzisz, że to się stało?

Bez wsparcia Curve, Resupply nie byłby w stanie zebrać tak dużej ilości pieniędzy. Nie byliśmy w to zaangażowani ze względu na zespół programistów, który właściwie nie cieszył się dobrą reputacją. Jeśli to tylko oni wykonują projekt w pojedynkę, na pewno nie będziemy w to zaangażowani.

Są dwa powody, dla których naprawdę zdecydowaliśmy się wziąć udział: jednym z nich jest to, że jego model biznesowy obraca się wokół stablecoina Curve, co jest logicznie równoznaczne z pomaganiem Curve w rozwoju, a ta wiążąca relacja sprawia, że ludzie czują się stosunkowo bezpiecznie; Po drugie, Curve oficjalnie uznał projekt w tamtym czasie, a nawet go poparł.

Jeśli chodzi o to, że mówisz, że grupa projektowa ma czarną historię, to prawda, ale tym razem nie zmienili swoich kamizelek, ale nadal używali swojej pierwotnej tożsamości do realizacji projektów, co można uznać za rodzaj odpowiedzialności za "prawdziwe nazwisko" do pewnego stopnia.

BlockBeats: Czy oficjalna reklama i poparcie Resupply przez Curve jest w tym przypadku solidarnie odpowiedzialne? Jak postrzega Pan konflikt interesów między "odrzutami po fakcie" a "promocją ex ante" po stronie ekologicznej?

3D: Nie sądzę, aby "cięcie" Curve po incydencie było całkowicie nierozsądne. Gdybym kiedyś polecił jakąś kopalnię, nawet jeśli nie miałbym ani grosza ani żadnego zainteresowania, i coś by się stało z kopalnią, byłbym pierwszym, który zabrałby głos i powiedział ludziom, którzy mnie obserwują, co jest teraz nie tak, a ja będę kontynuował.

Curve aktywnie wspierał projekt, gdy na początku działał normalnie, a kiedy projekt poszedł nie tak, miał postawę "nie ma ze mną nic wspólnego", mówiąc kilka słów "żalu", a następnie zbywając to, co jest naprawdę nie do przyjęcia.

Jak uniknąć nadepnięcia na szyb w górnictwie?

BlockBeats: Co jest dziś największą trudnością w obronie praw użytkowników DeFi?

3D: Sednem problemu jest brak jasności i brak regulacji w samej branży. W tym przypadku obrona praw jest w rzeczywistości bardzo trudna.

Jeśli jesteś użytkownikiem z USA, sytuacja może być nieco lepsza. Ponieważ Stany Zjednoczone mają jurysdykcję długoterminową, mogą dochodzić odpowiedzialności ponad granicami za pomocą środków prawnych, a nawet możliwe jest odzyskanie części środków i zgłoszenie strat rządowi. Ale dla nas w zasadzie nie ma takiego kanału.

BlockBeats: Jakie są więc obecne sposoby ochrony praw tych wielkich, poszkodowanych właścicieli?

3D: Nie, w przeciwnym razie kto chciałby być klaunem w Internecie?

W ostatecznym rozrachunku po prostu nie mamy żadnych skutecznych kanałów, aby bronić naszych praw. Tak długo, jak strona projektu jest uznana za nieodpowiedzialną, użytkownicy mogą polegać tylko na własnych głosach i organizować działania. Dla mnie, choć straty finansowe nie były wielkie, zareagowałem szczególnie mocno, bo czułem, że to zniewaga. Jeśli wszystkie strony projektowe będą miały takie podejście, to branża w ogóle nie będzie mogła grać.

Szczerze mówiąc, to naprawdę mrożące krew w żyłach. Dzisiaj byłem w dołku, jutro może to być ty, dopóki jesteś jeszcze w tym kręgu, zawsze spotkasz się z podobnymi rzeczami. Jak mówi stare przysłowie: "Prawdziwy heroizm to ten, kto wybiera miłość po ujrzeniu prawdy". Tak możemy tylko patrzeć na branżę. Aby rozwiązać ten problem, z jednej strony zależy to od tego, czy strona projektowa ma moralne podstawy do działania, a z drugiej strony branża musi mieć również podstawową samodyscyplinę.

BlockBeats: Na jakich informacjach skupiasz się, gdy projekt jest nowy lub wciąż w okresie promocyjnym?

3D: Kiedy projekt jest uruchamiany po raz pierwszy lub w fazie prezentacji, zwykle skupiam się na kilku rzeczach.

Pierwszym z nich jest model biznesowy. Na czym dokładnie zarabia ten projekt? Gdzie jest źródło zysku? To jest najbardziej podstawowe, ale i najważniejsze pytanie.

Drugi to informacje na stronie, czyli mechanizm działania samego protokołu, taki jak to, czy napływ i odpływ środków jest płynny, czy występują "zablokowane punkty" - takie jak to, czy istnieje blokada czasowa dla środków przychodzących i wychodzących, lub czy istnieje wysoka opłata manipulacyjna, które są bezpośrednio związane z doświadczeniem użytkownika i ryzykiem.

Trzeci to informacje spoza siedziby firmy. Chcę się dowiedzieć, czy ten zespół realizował już wcześniej projekty, czy jest anonimowy, czy jest wsparcie ze strony instytucji inwestycyjnych, kto za tym stoi i czy mogę uzyskać jakieś podstawowe informacje.

Ponadto wyjdę z inicjatywą i porozmawiam na Discordzie zespołu projektowego, aby sprawdzić, czy ich postawa odpowiedzi i zespół są wiarygodne. Niektórzy zaglądają do sprawozdań z audytu, ale ja chciałbym przypomnieć, że wiele projektów, które zakończyły się niepowodzeniem, zostało faktycznie skontrolowanych. Co najwyżej audyt może jedynie wykazać, czy strona projektu jest skłonna wydać pieniądze, aby przejść przez proces i nie reprezentuje, że projekt jest naprawdę bezpieczny.

BlockBeats: Czy nadal masz zaufanie do ekosystemu Curve, mechanizmu ubezpieczeniowego i systemu stablecoinów?

3D: Krzywa znajduje się w niezręcznej pozycji. Jego pierwotna nisza została przede wszystkim zaprojektowana w celu rozwiązania problemu Uniswap V2 z głębokością handlu stablecoinami. Ponieważ mechanizm ciągłego tworzenia rynku produktów V2 nie radzi sobie dobrze wśród stablecoinów, potrzeba dużo pieniędzy, aby wydobyć głębokość. W tym czasie Curve zaproponował łagodniejszy projekt krzywej, koncentrując się na giełdach stablecoinów. Można powiedzieć, że od samego początku opierał się na tym zróżnicowaniu, aby zdobyć solidny przyczółek w DeFi, a jako produkt infrastrukturalny logika jest jasna. Ale teraz jest presja na biznes Floyda i myślę, że idzie w dół, ale nadal mam zaufanie do systemu stablecoinów.

Ostatnio byłem bardzo niespokojny. Choć osobiście tym razem nie straciłem wiele, to największym ciosem były dla mnie nie pieniądze, a pewność siebie. Zawsze byłem w branży, nie potrafię powiedzieć, jak bardzo ją kocham, ale przynajmniej jestem w nią zaangażowany od dłuższego czasu. Ale teraz zaczynam mieć poważne wątpliwości co do zrównoważonego rozwoju branży – gdyby wszystkie strony projektu były takie, branża nie byłaby w stanie kontynuować.

Yishi wycofał wszystkie kopalnie, a teraz planuje tylko zaopatrzyć się w bitcoiny i nie dotykać niczego innego. Myślisz, że nasza strata 15,5% tym razem jest równoznaczna z rocznym zwrotem z jednego roku wydobycia wprost do zera. To, co pierwotnie zrobiliśmy, było strategią o stosunkowo niskim ryzyku, a nie dziesięciokrotnym dziennym zyskiem z wysoką dźwignią. Zdobyłeś 15 punktów w ciągu roku, a teraz zniknęło to w jeden dzień, kto może to znieść?