Uma semana se passou desde que o Resupply foi roubado e, em 26 de junho, ocorreu uma violação de segurança na stablecoin "wstUSR Market" do protocolo DeFi Resupply, resultando na perda de cerca de US$ 9,6 milhões em criptoativos. "Andando à beira do rio, como você não pode molhar seus sapatos", DeFi OG player 3D postou um vídeo de proteção de direitos em seu canal do Youtube por três dias consecutivos, e BlockBeats entrou em contato com 3D para conversar com ele sobre uma série de comentários após o roubo como testemunha em primeira mão da perda.

3D é um dos primeiros usuários a participar da mineração deste protocolo, e ele é um jogador de mineração e um criador de conteúdo. Nesta entrevista, ouvimos suas dúvidas, emoções e algumas regras tácitas na indústria sobre as quais ele não quer falar. Ele falou sobre o "endosso padrão" da Curve, a resposta reativa do projeto aos hackers e o processo da comunidade ser bloqueada e humilhada ao defender seus direitos.

Comparado com a perda de dinheiro, na narração em 3D, o que o arrepiou foi o abalo da confiança na indústria. Ele admite que, embora não tenha perdido mais, é o que está mais irritado - não por causa do dinheiro, mas por causa do status de usuário desconsiderado e humilhado. Sua experiência reflete o dilema comum de inúmeros participantes do DeFi - direitos e responsabilidades pouco claros, nenhuma maneira de defender direitos e repetidas concessões de resultados morais.

Eis a conversa completa:

BlockBeats: Por favor, faça uma breve introdução ao 3D.

3D: O nome que uso na rede é 3D, e meu principal trabalho no momento é minha própria mineração, estou no círculo desde a rodada de ICO de 2017, mas realmente comecei a me concentrar em DeFi e arbitragem a partir do DeFi Summer em 2020, e também administro um canal no Youtube com foco em arbitragem DeFi - 3D Crypto Channel.

BlockBeats: Quanto dinheiro foi comprometido até agora? Como deve ser estimada ou medida a dimensão da perda real?

3D: A quantidade total de dinheiro que pode ser vista no momento é basicamente o tamanho do pool de seguros - cerca de US $ 38 milhões.

BlockBeats: Que percentagem de utilizadores chineses existem desta vez?

3D: Não sei muito bem. No entanto, desta vez, os mais barulhentos e os primeiros a falar pela proteção dos direitos fomos de facto eu e Yishi, e fomos o equivalente a assumir a liderança. Os usuários chineses estão mais concentrados na voz, é claro, há alguns usuários em inglês, mas o volume geral é relativamente pequeno.

O período após o roubo do Reabastecimento

BlockBeats: Qual é a solução atual?

3D: Para simplificar, perdemos 15,5% do nosso principal. A comunidade gostaria que eles tomassem medidas, já que o prejuízo total foi de cerca de US$ 10 milhões. Um dos desenvolvedores de sua equipe contribuiu com cerca de 1,5 milhão, e eles tiraram cerca de 800.000 dos cofres, o que é pouco mais de 20% no total.

A atitude deles é como: "Você vê que perdemos dinheiro também, não o persiga mais". Mas a questão é: por que você não usa o dinheiro para se comunicar com hackers? Por exemplo, "Você devolve o dinheiro e nós o recompensamos com essa parte como um chapéu branco", não seria todo mundo feliz? Mas não o fizeram de todo.

BlockBeats: Por que você escolheu esse protocolo para mineração em primeiro lugar?

3D: Estive envolvido no projeto Resupply no início de abril. Naquela época, quando eu estava navegando pelo Twitter, vi uma pessoa que acompanho há muito tempo postar conteúdo relacionado e, mais tarde, vi que o Curve oficialmente o retuitou, o que me chamou a atenção.

Em retrospetiva, parece estranho pela lógica do projeto, não parece querer ganhar dinheiro por conta própria, mas mais como ajudar o Curve a "impulsionar" o uso de crvUSD. Como o crvUSD em si não tem uso prático, ele projetou um mecanismo para forçar um caso de uso e, em seguida, usou incentivos para orientar as pessoas a participar.

Do ponto de vista de nós, participantes, isso é como um irmão mais velho que quer puxar os dados da plataforma e pede ao seu "irmão mais novo" para apoiar a cena, e Curve lhe deu algum aval, então não achamos que havia nada de errado com isso na época.

Para aqueles de nós que estão fazendo mineração ou arbitragem, ao encontrar um novo projeto, vamos primeiro avaliar dois pontos-chave: o primeiro é o produto em si, como funciona? De onde vem o dinheiro que você ganha? O segundo é o histórico da festa do projeto, ou seja, as chamadas informações "on-site" e "off-site". Na minha opinião na época, a lógica do Resupply era relativamente simples e intuitiva.

BlockBeats: E quem você acha que é responsável após o acidente? Que decisões importantes a equipe de Resupply tomou depois que isso aconteceu? Se você compará-lo com plataformas de protocolo DeFi maduras, quais são as lacunas óbvias em seus processos de resposta?

3D: Eu acho que o maior problema com a forma como eles lidam com as consequências é que eles não têm um senso de resposta à crise. Eu nem fiz as coisas mais básicas em primeiro lugar. Todo mundo pode encontrar isso na Internet, e Cosine Boss também mencionou isso: eles não chamaram publicamente os hackers, nem emitiram um anúncio para explicar a situação, muito menos ativaram quaisquer mecanismos legais ou de responsabilização - eles nem tentaram se comunicar com os hackers, eles foram completamente laissez-faire.

No mínimo, outros projetos farão anúncios, suspenderão contratos, contatarão com white hats e tentarão recuperar fundos, o que não foi feito. É como se não tivesse acontecido.

Também não entendemos por que a equipe do projeto não se comunica ativamente com a comunidade. Todo o incidente levou a uma perda de quase 10 milhões, e sua própria equipe contribuiu apenas com cerca de 1,5 milhão para um desenvolvedor, além de cerca de 800.000 yuans do tesouro do projeto, que cobriu cerca de 20% da perda. Não importa como você olhe para ele, isso é apenas um "significado" simbólico, uma gota no balde.

A atitude deles é basicamente "Você vê que estamos perdendo dinheiro também, não nos incomode mais". Mas o problema é que eles podem, obviamente, usar o dinheiro para negociar com os hackers, e deixar claro que, desde que você devolva o dinheiro, esse dinheiro será tratado como uma recompensa de chapéu branco, e todos ficarão felizes. Mas eles não tomaram essa medida.

A mensagem da 3D no fórum oficial Resupply sugeriu tentar falar com hackers na forma de um bônus de chapéu branco, mas não recebeu uma resposta

A primeira é que eles são extremamente passivos ou mesmo completamente inativos na recuperação de ativos hackeados. Passaram-se alguns dias desde o incidente da passada quinta-feira e ainda não se registaram progressos substanciais.

O segundo ponto é que são extremamente arrogantes e indiferentes à comunidade. Assim que o incidente veio à tona, muitos de nossos usuários foram ao Discord para perguntar pela primeira vez, mas eles disseram diretamente qualitativamente que "as pessoas no pool de seguros arcam com os prejuízos", e não havia espaço para discussões básicas. Questionamos sua abordagem, dizendo que a documentação não afirmava que os usuários deveriam arcar com tais perdas, apenas para serem ridicularizados, atacados e até mesmo banidos.

Eles também disseram: "Você está fazendo retornos anualizados de 17%, então está assumindo o risco". Essa lógica simplesmente não se sustenta, e só porque estamos participando de uma estratégia anualizada de 17% não significa que somos totalmente responsáveis pelo roubo do protocolo.

O feedback no nosso grupo foi unânime, não que perder dinheiro fosse o mais desconfortável, mas que a experiência de ser humilhado e bloqueado no Discord foi mais irritante. Há duas razões principais pelas quais este incidente desencadeou uma reação tão forte: a inação da equipe do projeto e seu desprezo pelos usuários.

Se eles realmente não podem se dar ao luxo de perder, eles podem deixar clara sua atitude, como tirar 3 milhões primeiro e deixar 7 milhões para todos os usuários compartilharem proporcionalmente, o que também é mais forte do que agora. Mas a sua forma de lidar com isso é "contratar" diretamente os utilizadores do pool de seguros e assumir total responsabilidade. Seu propósito ao fazer isso é claro, que é manter o protocolo funcionando e não deixar o projeto morrer.

O mais irônico é que, olhando para o anúncio que fizeram na época, eles quase não mencionaram a quantidade de perdas, e apenas disseram levianamente que encontraram uma brecha, suspenderam um mercado e tudo o resto continuou como de costume, o que é muito irresponsável.

O que é mais grave é que o hacker cunhou 10 milhões de stablecoins a custo zero através de brechas para vender o mercado, quebrando diretamente o mecanismo original de supergarantia, de modo que não há mais suporte suficiente de ativos por trás da stablecoin. Neste caso, a parte do projeto ainda não suspendeu o contrato e deixou o usuário operar a retirada sozinho.

Como resultado, os usuários que correram rápido foram retirados, e o pool do cofre foi completamente bloqueado devido a um atraso de 7 dias na retirada. O que é ainda mais escandaloso é que eles lançaram uma nova proposta para suspender os saques do pool de seguros e congelar ainda mais os ativos dos usuários. Quanto à sua afirmação de que "as dívidas incobráveis devem ser suportadas pelo pool de seguros", não há precedente nos protocolos DeFi. Eles mais uma vez romperam a linha de fundo da indústria, e não há racionalidade alguma na governança.

BlockBeats: Algum projeto já usou esse pool de seguros para cobrir perdas antes?

3D: O pool de seguros suporta a dívida negra em tudo.

Existem apenas três formas de participar no projeto Resupply: penhor, empréstimo rotativo e grupo LP. De facto, do ponto de vista das expectativas dos utilizadores, o staking é o grupo de pessoas mais estável, mas agora têm de suportar todos os riscos. A questão central reside na expectativa do utilizador em relação ao pool de seguros, e todos acreditamos que enquanto a dívida incobrável causada pelas flutuações do mercado for suportada.

Eu fiz uma analogia sobre o pool de seguros na época, que pode não ser muito precisa, mas provavelmente significa que é como se você tivesse comprado um produto de gestão de patrimônio na Binance, e a Binance fosse roubada, e ela lhe dissesse: "Você não está aqui para economizar dinheiro?" Todos arcam com o prejuízo, especialmente aqueles que compraram a gestão financeira." Finalmente, o dinheiro perdido só será deduzido dos fundos do usuário, e outros não serão afetados.

Na verdade, algumas trocas foram roubadas no passado, e todos os usuários arcam com as perdas proporcionalmente, mas desta vez não foi. Eles apenas fazem com que o usuário da gestão de patrimônio arque com todo o prejuízo. A lógica deles é: "Se você quer ganhar 2% ao ano, você tem que ser responsável por isso". Há até quem diga que "não existe almoço grátis", o que significa que você merece arcar com a perda desse roubo se ficar com 17% da renda anualizada, o que é ultrajante.

Que papel Curve desempenhou nesta turbulência?

BlockBeats: Você mencionou que participou do Resupply porque confiava no Curve, então qual você acha que é a relação entre Resupply e Curve? Você acha que a atitude de "corte" de Curve após o incidente é razoável?

3D: Eu acho que pode ser visto em dois níveis. O primeiro é a lógica na superfície - este projeto serve e endossa o Curve, e também é um projeto no ecossistema Curve.

Mas, por outro lado, pessoas com julgamento normal farão um raciocínio razoável: você vê que o design deste protocolo é basicamente prestar serviços à Curve, e para dizer sem rodeios, é o papel de "irmão mais novo". Caso contrário, sua existência é quase sem sentido, e sua lógica central é subsidiar a receita do protocolo da Curve com suas próprias moedas de mineração.

Você diz que esse tipo de coisa que não pede nada em troca e é puramente uma transfusão de sangue, a menos que seja amor verdadeiro, quem o fará? Especialmente seu token, na época, eu pensei que o projeto não duraria um mês, porque a história geral não era atraente, e em última análise, era para trazer alguns novos incrementos para a stablecoin da Curve, e não havia substância.

Mas então você vê, o preço se estabilizou, e tem sido estável por um longo tempo. Eu estava pensando, quem vai estar por trás disso? Pensando bem, a explicação mais plausível é que a Curve está fazendo isso por conta própria. Quem se beneficia disso, e quem está mais motivado para estabilizar a situação - este é um raciocínio de senso comum, embora não haja evidências reais, mas desde que o cérebro esteja certo, você provavelmente pode pensar nisso.

Ação de preço de token nativo de reabastecimento

Antes do acidente, Curve gritou que era um bom projeto, mas agora que tem um acidente, imediatamente esclareceu, dizendo "É apenas um projeto ecológico, não tem nada a ver comigo". Esta atitude é a mesma de algumas das notícias que costumamos ver: quando algo acontece, é "um trabalhador temporário". Agora que até nós, os usuários, fomos banidos, até onde você diz que isso aconteceu?

Sem o aval da Curve, a Resupply não teria conseguido angariar tanto dinheiro. Não estávamos envolvidos por causa de sua equipe de desenvolvimento – que na verdade não tinha uma boa reputação. Se forem apenas eles a fazer um projeto sozinhos, definitivamente não estaremos envolvidos.

Há duas razões pelas quais realmente escolhemos participar: uma é que seu modelo de negócios gira em torno da stablecoin da Curve, que é logicamente equivalente a ajudar a Curve a crescer, e essa relação vinculante faz com que as pessoas se sintam relativamente seguras; A segunda é que a Curve reconheceu oficialmente o projeto na época, e até o endossou.

Quanto a você dizer que o partido do projeto tem uma história negra, é verdade, mas desta vez eles não mudaram seus coletes, mas continuaram a usar suas identidades originais para fazer projetos, o que pode ser considerado como uma espécie de responsabilidade de "nome real" em certa medida.

BlockBeats: A publicidade oficial da Curve e o endosso do Resupply são solidariamente responsáveis neste caso? Como vê o conflito de interesses entre as "devoluções a posteriori" e a "promoção ex ante" do lado ecológico?

3D: Não acho que o comportamento de "corte" de Curve após o incidente seja completamente irracional. Se uma vez eu recomendasse uma determinada piscina de mineração, mesmo que eu não tivesse um centavo ou qualquer interesse, e algo acontecesse com a mina, eu seria o primeiro a falar e dizer às pessoas que me seguem o que está errado agora, e eu vou acompanhar.

A Curve apoiou ativamente o projeto quando ele estava funcionando normalmente no início, e quando o projeto deu errado, teve uma atitude de "nada a ver comigo", dizendo algumas palavras de "arrependimento", e depois ignorando-o, o que é realmente inaceitável.

Como evitar pisar no poço na mineração?

BlockBeats: Qual é a maior dificuldade em defender os direitos dos usuários DeFi hoje?

3D: No centro do problema está a falta de clareza e a falta de regulamentação na própria indústria. Neste caso, é realmente muito difícil defender direitos.

Se você é um usuário dos EUA, a situação pode ser um pouco melhor. Como os Estados Unidos têm jurisdição de braço longo, podem buscar responsabilidade além-fronteiras por meios legais, e é até possível recuperar alguns dos fundos e relatar perdas ao governo. Mas, para nós, basicamente não existe esse canal.

BlockBeats: Então, quais são as maneiras atuais de proteger os direitos desses grandes proprietários prejudicados?

3D: Não, senão quem gostaria de ser palhaço na Internet?

No final das contas, simplesmente não temos canais eficazes para defender nossos direitos. Enquanto o partido do projeto estiver determinado a ser irresponsável, os usuários só podem confiar em suas próprias vozes e organizar ações. Para mim, embora o prejuízo financeiro não tenha sido grande, reagi particularmente fortemente porque senti que era um insulto. Se todos os participantes do projeto tiverem essa atitude, a indústria não poderá jogar de jeito nenhum.

Para ser honesto, é realmente arrepiante. Hoje eu fui colocado, amanhã pode ser você, enquanto você ainda estiver neste círculo, você sempre encontrará coisas semelhantes. Como diz o velho ditado: "O verdadeiro heroísmo é aquele que escolhe amar depois de ver a verdade". É assim que só podemos olhar para a indústria. Para resolver o problema, por um lado, depende da parte do projeto ter um resultado moral e, por outro lado, a indústria também precisa ter autodisciplina básica.

BlockBeats: Em que informações você se concentra quando o projeto é novo ou ainda está no período de promoção?

3D: Quando um projeto é lançado pela primeira vez ou está na fase de pitch, eu geralmente me concentro em algumas coisas.

O primeiro é o modelo de negócio. Em que exatamente este projeto ganha dinheiro? Onde está a fonte de lucro? Esta é a questão mais básica, mas também a mais crítica.

O segundo são as informações no local, ou seja, o mecanismo de operação do próprio protocolo, como se a entrada e saída de fundos é suave, se há "pontos bloqueados" - como se há um bloqueio de tempo para entrada e saída de fundos, ou se há uma alta taxa de manuseio, que estão diretamente relacionados à experiência e ao risco do usuário.

O terceiro é a informação fora do local. Quero ver se esta equipa já fez projetos antes, se é anónima, se há apoio de instituições de investimento, quem está por trás e se consigo obter alguma informação de fundo.

Além disso, tomarei a iniciativa de conversar com o Discord da equipe do projeto para ver se sua atitude de resposta e a equipe são confiáveis. Algumas pessoas olham para os relatórios de auditoria, mas gostaria de recordar que muitos dos projetos que falharam foram efetivamente auditados. No máximo, a auditoria só pode mostrar se a parte do projeto está disposta a gastar dinheiro para passar pelo processo, e não representa que o projeto é realmente seguro.

BlockBeats: Você ainda tem confiança no ecossistema Curve, mecanismo de seguro e sistema de stablecoin?

3D: A curva está em uma posição estranha. Seu nicho original foi projetado principalmente para resolver o problema do Uniswap V2 com a profundidade de negociação de stablecoin. Como o mecanismo constante de criação de mercado de produtos da V2 não tem um bom desempenho entre as stablecoins, é preciso muito dinheiro para extrair a profundidade. Naquela época, Curve propôs um design de curva mais suave, com foco em trocas de stablecoin. Pode-se dizer que contou com essa diferenciação para ganhar uma posição firme no DeFi desde o início, e como um produto de infraestrutura, a lógica é clara. Mas agora há pressão sobre os negócios de Floyd, e acho que está indo ladeira abaixo, mas ainda tenho confiança no sistema de stablecoin.

Na verdade, tenho estado muito ansioso ultimamente. Embora eu não tenha perdido muito pessoalmente desta vez, o maior golpe para mim não foi dinheiro, mas confiança. Eu sempre estive na indústria, não posso dizer o quanto eu amo isso, mas pelo menos eu estou comprometido com isso há muito tempo. Mas agora, estou começando a ter sérias dúvidas sobre a sustentabilidade da indústria – se todos os participantes do projeto fossem assim, a indústria não seria capaz de continuar.

Yishi retirou todas as minas, e agora ele só planeja estocar bitcoin e não tocar em mais nada. Você acha que nossa perda de 15,5% desta vez é equivalente ao retorno anualizado de um ano de mineração diretamente a zero. O que fizemos originalmente foi uma estratégia de risco relativamente baixo, não um ganho diário de alta alavancagem, dez vezes maior. Ganhei 15 pontos em um ano, e agora se foi em um dia, quem aguenta?