En vecka har gått sedan Resupply stals, och den 26 juni inträffade ett säkerhetsintrång i stablecoinet "wstUSR Market" i DeFi-protokollet Resupply, vilket resulterade i en förlust av cirka 9,6 miljoner dollar i kryptotillgångar. "Walking by the river, how can you not get your shoes wet", DeFi OG-spelaren 3D lade upp en video om skydd av rättigheter på sin Youtube-kanal tre dagar i rad, och BlockBeats kontaktade 3D för att chatta med honom om en rad recensioner efter stölden som ett förstahandsvittne till förlusten.

3D är en av de tidigaste användarna som deltar i brytningen av detta protokoll, och han är både en gruvspelare och en innehållsskapare. I den här intervjun fick vi höra hans tvivel, känslor och några outtalade regler i branschen som han inte vill prata om. Han pratade om Curves "standardgodkännande", projektets reaktiva svar på hackare och processen där communityn blockeras och förödmjukas när de försvarar sina rättigheter.

Jämfört med förlusten av pengar, i 3D-berättelsen, var det som kylde honom det skakade förtroendet för branschen som fick honom att skaka. Han medger att även om han inte har förlorat mest, är det han som är mest arg - inte på grund av pengarna, utan på grund av den ignorerade och förödmjukade användarstatusen. Hans erfarenhet återspeglar det vanliga dilemmat för otaliga DeFi-deltagare - oklara rättigheter och skyldigheter, inget sätt att försvara rättigheter och upprepade eftergifter av moraliskt resultat.

Här är hela konversationen:

BlockBeats: Ge 3D en kort introduktion.

3D: Namnet jag använder på nätverket är 3D, och mitt huvudjobb just nu är min egen gruvdrift, jag har varit med i cirkeln sedan 2017 års omgång av ICO, men jag började verkligen fokusera på DeFi och arbitrage från DeFi Summer 2020, och jag driver även en Youtube-kanal med fokus på DeFi arbitrage - 3D Crypto Channel.

BlockBeats: Hur mycket pengar har äventyrats hittills? Hur ska omfattningen av den faktiska förlusten uppskattas eller mätas?

3D: Den totala summan pengar som kan ses just nu är i princip storleken på försäkringspoolen – cirka 38 miljoner dollar.

BlockBeats: Hur många procent av de kinesiska användarna finns där den här gången?

3D: Jag vet inte så bra. Men den här gången var det faktiskt jag och Yishi som var de mest högljudda och de första som talade för att skydda våra rättigheter, och vi var lika med att ta ledningen. Kinesiska användare är mer koncentrerade på rösten, naturligtvis finns det några engelska användare, men den totala volymen är relativt liten.

Perioden efter att Resupply blev stulen

BlockBeats: Vad är den nuvarande lösningen?

3D: För att uttrycka det enkelt, vi förlorade 15,5 % av vårt huvudman. Samhället skulle ha velat att de skulle vidta åtgärder, eftersom den totala förlusten var cirka 10 miljoner dollar. En av utvecklarna i deras team bidrog med cirka 1,5 miljoner, och de tog cirka 800 000 från kassan, vilket är drygt 20% totalt.

Deras attityd är: "Du ser att vi också har förlorat pengar, fortsätt inte med det längre." Men frågan är, varför använder du inte pengarna för att kommunicera med hackare? Till exempel, "Du ger tillbaka pengarna, och vi belönar dig med den här delen som en vit hatt", skulle inte alla vara nöjda? Men de gjorde det inte alls.

BlockBeats: Varför valde ni det här protokollet för gruvdrift från början?

3D: Jag var involverad i Resupply-projektet i början av april. Vid den tiden, när jag scrollade igenom Twitter, såg jag en person som jag har följt länge posta relaterat innehåll, och senare såg jag att Curve officiellt retweetade det, vilket fångade min uppmärksamhet.

I efterhand ser det konstigt ut utifrån projektets logik, det verkar inte vilja tjäna pengar på egen hand, utan mer som att hjälpa Curve att "boosta" användningen av crvUSD. Eftersom crvUSD i sig inte har någon praktisk användning, utformade han en mekanism för att tvinga fram ett användningsfall och använde sedan incitament för att vägleda människor att delta.

Ur våra deltagares perspektiv är detta som en storebror som vill hämta plattformsdata och ber sin "lillebror" att stödja scenen, och Curve gav honom ett visst stöd, så vi tyckte inte att det var något fel med det vid den tidpunkten.

För de av oss som sysslar med gruvdrift eller arbitrage, när vi stöter på ett nytt projekt, kommer vi först att utvärdera två nyckelpunkter: den första är själva produkten, hur fungerar den? Var kommer pengarna du tjänar ifrån? Den andra är bakgrunden till projektparten, det vill säga den så kallade "on-site" och "off-site" informationen. Enligt min bedömning vid den tiden var logiken i Resupply relativt enkel och intuitiv.

BlockBeats: Och vem tror du är ansvarig efter olyckan? Vilka viktiga beslut fattade Resupply-teamet efter att det hände? Om du jämför det med mogna DeFi-protokollplattformar, vilka är de uppenbara luckorna i deras svarsprocesser?

3D: Jag tror att det största problemet med hur de hanterar efterdyningarna är att de inte har någon känsla för krishantering alls. Jag gjorde inte ens de mest grundläggande sakerna från början. Alla kan hitta detta på Internet, och Cosine Boss nämnde det också: de pekade varken ut hackarna offentligt, eller utfärdade ett tillkännagivande för att förklara situationen, än mindre aktiverade de några juridiska eller ansvarsmekanismer - de försökte inte ens kommunicera med hackarna, de var helt laissez-faire.

Åtminstone kommer andra projekt att göra tillkännagivanden, avbryta kontrakt, kontakta vita hattar och försöka återvinna pengar, vilket inte görs. Det är som om det inte har hänt.

Vi förstår inte heller varför projektgruppen inte aktivt kommunicerar med samhället. Hela incidenten ledde till en förlust på nästan 10 miljoner, och deras eget team bidrog bara med cirka 1,5 miljoner till en utvecklare, plus cirka 800 000 yuan från projektkassan, vilket täckte cirka 20 % av förlusten. Hur man än vrider och vänder på det så är det bara en symbolisk "mening", en droppe i havet.

Deras attityd är i princip "Du ser att vi också förlorar pengar, stör oss inte längre." Men problemet är att de uppenbarligen kan använda pengarna för att förhandla med hackarna och göra det klart att så länge du lämnar tillbaka pengarna kommer dessa pengar att behandlas som en white hat-belöning, och alla kommer att vara nöjda. Men de vidtog inte alls den åtgärden.

3D:s meddelande på det officiella Resupply-forumet föreslog att man skulle försöka prata med hackare i form av en white hat-bonus, men det har inte fått något svar

Den första är att de är extremt passiva eller till och med helt inaktiva när det gäller att återställa hackade tillgångar. Det har gått några dagar sedan händelsen i torsdags, och det har fortfarande inte gjorts några större framsteg.

Den andra punkten är att de är extremt arroganta och likgiltiga för samhället. Så snart incidenten kom ut gick många av våra användare till Discord för att fråga för första gången, men de sa direkt kvalitativt att "människorna i försäkringspoolen står för förlusterna", och det fanns inget utrymme för grundläggande diskussion. Vi ifrågasatte deras tillvägagångssätt och sa att dokumentationen inte angav att användare skulle bära sådana förluster, bara för att bli förlöjligade, attackerade och till och med bannlysta.

De sa också: "Du gör 17 % årlig avkastning, så du tar risken." Denna logik håller helt enkelt inte, och bara för att vi deltar i en strategi på 17 % på årsbasis betyder det inte att vi är fullt ansvariga för protokollstölden.

Feedbacken i vår grupp var enhällig, inte att förlora pengar var det mest obekväma, utan att upplevelsen av att bli förödmjukad och blockerad i Discord var mer irriterande. Det finns två huvudorsaker till att denna incident har utlöst en så stark reaktion: projektteamets passivitet och deras förakt för användarna.

Om de verkligen inte har råd att förlora kan de göra sin inställning tydlig, till exempel genom att ta ut 3 miljoner först och lämna 7 miljoner för alla användare att dela proportionellt, vilket också är starkare än nu. Men deras sätt att hantera det är att direkt "ta ut" användarna av försäkringspoolen och ta fullt ansvar. Deras syfte med att göra detta är tydligt, vilket är att hålla protokollet igång och inte låta projektet dö.

Det mest ironiska är att när man tittar på det tillkännagivande de gjorde vid den tiden, nämnde de nästan inte förlustbeloppet, utan sa bara lätt att de stötte på ett kryphål, stängde av en marknad och att allt annat fortsatte som vanligt, vilket är mycket oansvarigt.

Vad som är allvarligare är att hackaren präglade 10 miljoner stablecoins utan kostnad genom kryphål för att sälja marknaden, vilket direkt bröt den ursprungliga översäkrade mekanismen, så att det inte längre finns tillräckligt med tillgångsstöd bakom stablecoin. I det här fallet upphävde projektparten fortfarande inte avtalet och lät användaren sköta återkallelsen själv.

Som ett resultat drogs användare som sprang snabbt tillbaka och valvpoolen var helt låst på grund av en 7-dagars försening i uttaget. Vad som är ännu mer upprörande är att de har lanserat ett nytt förslag om att avbryta uttag av försäkringspooler och ytterligare frysa användarnas tillgångar. När det gäller deras uttalande om att "osäkra fordringar bör bäras av försäkringspoolen" finns det inget prejudikat i DeFi-protokoll alls. De har än en gång brutit igenom branschens bottenlinje, och det finns ingen rationalitet i styrningen alls.

BlockBeats: Har några projekt någonsin använt denna försäkringspool för att täcka förluster tidigare?

3D: Försäkringspoolen bär den svarta skulden över huvud taget.

Det finns bara tre sätt att delta i Resupply-projektet: pant, revolverande lån och grupp-LP. Faktum är att ur användarnas förväntningar är staking den mest stabila gruppen av människor i den, men nu måste de bära alla risker. Kärnfrågan ligger i användarens förväntan på försäkringspoolen, och vi tror alla att så länge som de osäkra fordringarna som orsakas av marknadsfluktuationer är ansvariga.

Jag gjorde en analogi om försäkringspoolen vid den tiden, som kanske inte är så exakt, men det betyder förmodligen att det är som om du köpte en förmögenhetsförvaltningsprodukt på Binance, och Binance blev stulen, och den säger till dig: "Är du inte här för att spara pengar?" Alla bär förlusten, särskilt ni som har köpt ekonomisk förvaltning. Slutligen kommer de förlorade pengarna endast att dras av från användarens medel, och andra kommer inte att påverkas.

Faktum är att vissa börser har stulits tidigare, och alla användare bär förlusterna proportionellt, men den här gången var det inte det. De gör bara att användaren av förmögenhetsförvaltning bär hela förlusten. Deras logik är: "Om du vill tjäna 2 % per år måste du vara ansvarig för det." Det finns till och med människor som säger att "det finns inget sådant som en gratis lunch", vilket innebär att du förtjänar att bära förlusten av denna stöld om du tar 17 % av den årliga inkomsten, vilket är upprörande.

Vilken roll spelade Curve i denna turbulens?

BlockBeats: Du nämnde att du deltog i Resupply för att du litade på Curve, så vad tror du är förhållandet mellan Resupply och Curve? Tycker du att Curves "skärande" attityd i efterdyningarna av incidenten är rimlig?

3D: Jag tror att det kan ses på två nivåer. Den första är logiken på ytan - det här projektet tjänar och stöder Curve, och det är också ett projekt i Curve-ekosystemet.

Men å andra sidan kommer människor med normalt omdöme att göra ett rimligt resonemang: du ser att utformningen av detta protokoll i grunden är att tillhandahålla tjänster till Curve, och för att uttrycka det rakt på sak, det är rollen som "lillebror". Annars är dess existens nästan meningslös, och dess kärnlogik är att subventionera Curves protokollintäkter med sina egna gruvmynt.

Ni säger att den här typen av saker som inte ber om något i gengäld och som bara är en blodtransfusion, om det inte är äkta kärlek, vem ska då göra det? Speciellt dess token, vid den tiden trodde jag att projektet inte skulle pågå i en månad, eftersom den övergripande historien inte var attraktiv, och i slutändan var det för att ge några nya ökningar till Curves stablecoin, och det fanns ingen substans.

Men sedan ser du att priset har stabiliserats, och det har varit stabilt under lång tid. Jag tänkte, vem ska ligga bakom det här? När man tänker på det är den mest troliga förklaringen att Curve gör det på egen hand. Vem som gynnas av detta, och vem som är mest motiverad att stabilisera situationen - det är ett sunt förnuftsresonemang, även om det inte finns några verkliga bevis, men så länge hjärnan har rätt kan du förmodligen tänka på detta.

Leverera prisåtgärd för inbyggd token

Före olyckan skrek Curve att det var ett bra projekt, men nu när det hade hänt en olycka klarnade det omedelbart upp och sa "Det är bara ett ekologiskt projekt, det har inget med mig att göra". Denna inställning är densamma som en del av de nyheter vi vanligtvis ser: när något händer är det "en tillfällig arbetare". Nu när till och med vi, användarna, har blivit bannlysta, hur långt säger ni att detta har hänt?

Utan Curves stöd skulle Resupply inte ha kunnat samla in så mycket pengar. Vi var inte inblandade på grund av deras utvecklingsteam – som faktiskt inte hade ett gott rykte. Om det bara är de som gör ett projekt ensamma kommer vi definitivt inte att vara inblandade.

Det finns två anledningar till att vi verkligen valde att delta: den ena är att dess affärsmodell kretsar kring Curves stablecoin, vilket logiskt sett är likvärdigt med att hjälpa Curve att växa, och detta bindande förhållande gör att människor känner sig relativt trygga; Den andra är att Curve officiellt erkände projektet vid den tiden och till och med godkände det.

När det gäller att du säger att projektpartiet har en svart historia så är det sant, men den här gången bytte de inte väst, utan fortsatte att använda sina ursprungliga identiteter för att göra projekt, vilket i viss mån kan betraktas som ett slags "riktiga namn"-ansvar.

BlockBeats: Är Curves officiella publicitet och godkännande av Resupply solidariskt ansvarigt i det här fallet? Hur ser du på intressekonflikten mellan "post-facto-kassering" och "ex-ante promotion" på den ekologiska sidan?

3D: Jag tycker inte att Curves "skärande" beteende efter incidenten är helt orimligt. Om jag en gång rekommenderade en viss gruvpool, även om jag inte hade ett öre eller något intresse, och något hände med gruvan, skulle jag vara den första att tala ut och berätta för de människor som följer mig vad som är fel nu, och jag kommer att följa upp.

Curve stödde aktivt projektet när det kördes normalt i början, och när projektet gick fel hade det en "inget med mig att göra"-attityd, sa några ord av "ånger" och borstade sedan bort det, vilket verkligen är oacceptabelt.

Hur undviker man att trampa på gropen i gruvdrift?

BlockBeats: Vad är den största svårigheten med att försvara DeFi-användares rättigheter idag?

3D: Problemets kärna är bristen på tydlighet och brist på reglering i själva branschen. I det här fallet är det faktiskt mycket svårt att försvara sina rättigheter.

Om du är en amerikansk användare kan situationen vara något bättre. Eftersom USA har en lång jurisdiktion kan de driva ansvar över gränserna på lagliga sätt, och det är till och med möjligt att återvinna en del av medlen och rapportera förluster till regeringen. Men för oss finns det i princip ingen sådan kanal.

BlockBeats: Så vilka är de nuvarande sätten att skydda rättigheterna för dessa stora skadade ägare?

3D: Nej, vem skulle annars vilja vara en clown på Internet?

Till syvende och sist har vi helt enkelt inga effektiva kanaler för att försvara våra rättigheter. Så länge projektparten är fast besluten att vara oansvarig kan användarna bara lita på sina egna röster och organisera aktioner. För mig, även om den ekonomiska skadan inte var stor, reagerade jag särskilt starkt eftersom jag kände att det var en förolämpning. Om alla projektparter har denna inställning kommer branschen inte att kunna spela alls.

För att vara ärlig är det verkligen skrämmande. Idag var jag utslagen, imorgon kan det vara du, så länge du fortfarande är i den här cirkeln kommer du alltid att stöta på liknande saker. Som det gamla ordspråket säger: "Sann hjältemod är den som väljer att älska efter att ha sett sanningen." Det är så vi bara kan titta på branschen. För att lösa problemet är det å ena sidan beroende av att projektparten har en moralisk bottenlinje, och å andra sidan måste branschen också ha grundläggande självdisciplin.

BlockBeats: Vilken information fokuserar du på när projektet är nytt eller fortfarande befinner sig i kampanjperioden?

3D: När ett projekt först lanseras eller är i pitchfasen brukar jag fokusera på några få saker.

Den första är affärsmodellen. Vad exakt tjänar det här projektet pengar på? Var finns källan till vinst? Detta är den mest grundläggande men också den mest kritiska frågan.

Den andra är informationen på plats, det vill säga själva protokollets funktionsmekanism, till exempel om in- och utflödet av medel är smidigt, om det finns "fastnade punkter" - till exempel om det finns ett tidslås för inkommande och utgående medel, eller om det finns en hög hanteringsavgift, som är direkt relaterade till användarupplevelse och risk.

Den tredje är information på annan plats. Jag vill se om det här teamet har gjort projekt tidigare, om det är anonymt, om det finns stöd från investeringsinstitutioner, vem som står bakom det och om jag kan få lite bakgrundsinformation.

Dessutom kommer jag att ta initiativ till att chatta med projektgruppens Discord för att se om deras svarsattityd och teamet är pålitliga. En del tittar på revisionsrapporter, men jag vill påminna er om att många av de projekt som har misslyckats faktiskt har granskats. Revisionen kan på sin höjd bara visa om projektparten är villig att lägga pengar på att gå igenom processen, och representerar inte att projektet verkligen är säkert.

BlockBeats: Har du fortfarande förtroende för Curve-ekosystemet, försäkringsmekanismen och stablecoin-systemet?

3D: Kurvan är i en besvärlig position. Dess ursprungliga nisch var främst utformad för att lösa Uniswap V2:s problem med stablecoin-handelsdjup. Eftersom V2:s mekanism för att skapa ständiga produkter inte fungerar bra bland stablecoins, krävs det mycket pengar för att dra ut djupet. Vid den tiden föreslog Curve en mjukare kurvdesign, med fokus på stablecoin-börser. Man kan säga att den förlitade sig på denna differentiering för att få ett fast fotfäste i DeFi från början, och som en infrastrukturprodukt är logiken tydlig. Men nu är det press på Floyds verksamhet, och jag tror att det går utför, men jag har fortfarande förtroende för stablecoin-systemet.

Jag har faktiskt haft väldigt mycket ångest på sistone. Även om jag personligen inte förlorade mycket den här gången, var det största slaget för mig inte pengar, utan självförtroende. Jag har alltid varit i branschen, jag kan inte säga hur mycket jag älskar det, men jag har åtminstone varit engagerad i det länge. Men nu börjar jag tvivla starkt på branschens hållbarhet – om alla projektparter var så här skulle branschen inte kunna fortsätta.

Yishi har dragit tillbaka alla minor, och nu planerar han bara att fylla på med bitcoin och inte röra något annat. Du tror att vår förlust på 15,5 % den här gången motsvarar den årliga avkastningen på ett års gruvdrift direkt till noll. Vad vi ursprungligen gjorde var en strategi med relativt låg risk, inte en tiofaldig daglig vinst med hög hävstångseffekt. Tjänade 15 poäng på ett år, och nu är det borta på en dag, vem kan stå ut med det?