Минув тиждень з моменту крадіжки Resupply, а 26 червня на ринку стейблкоїнів «wstUSR» DeFi-протоколу Resupply стався пролом у безпеці, що призвело до втрати криптоактивів на суму близько $9,6 млн. «Прогулянка біля річки, як тут не намочити взуття», — гравець DeFi OG 3D три дні поспіль розміщував відео про захист прав на своєму Youtube-каналі, а BlockBeats зв'язався з 3D, щоб поспілкуватися з ним про серію відгуків після крадіжки як свідок з перших рук про втрату.

3D є одним з перших користувачів, які брали участь у майнінгу цього протоколу, і він є одночасно гравцем у майнінг і творцем контенту. У цьому інтерв'ю ми почули його сумніви, емоції та деякі негласні правила в індустрії, про які він не хоче говорити. Він розповів про «схвалення за замовчуванням» Curve, реактивну реакцію проєкту на хакерів, а також процес блокування та приниження спільноти під час захисту своїх прав.

У порівнянні з втратою грошей, у 3D-оповіданні, його охолодило похитування довіри до галузі. Він зізнається, що хоч і не втратив найбільше, але найбільше злиться саме на нього – не через гроші, а через знехтуваний і принижений статус користувача. Його досвід відображає загальну дилему незліченної кількості учасників DeFi – нечіткі права та обов'язки, відсутність можливості захистити права та неодноразові поступки морального прибутку.

Ось повна версія розмови:

BlockBeats: Будь ласка, коротко представте 3D.

3D: Ім'я, яке я використовую в мережі, це 3D, і моя основна робота на даний момент - це власний майнінг, я був у колі з раунду ICO 2017 року, але дійсно я почав зосереджуватися на DeFi та арбітражі з літа DeFi у 2020 році, а також веду канал на Youtube, присвячений арбітражу DeFi - 3D Crypto Channel.

BlockBeats: Скільки грошей було скомпрометовано на даний момент? Як слід оцінювати або вимірювати масштаб реальних втрат?

3D: Загальна сума грошей, яку можна побачити на даний момент, це в основному розмір страхового пулу – близько $38 млн.

BlockBeats: Який відсоток китайських користувачів є цього разу?

3D: Я не дуже добре знаю. Однак цього разу найгучнішими та першими, хто виступив за захист прав, справді були я та Іші, і ми були рівнозначні тому, щоб взяти на себе ініціативу. Китайські користувачі більш сконцентровані на голосі, звичайно, є і англійські, але загальна гучність відносно невелика.

Період після того, як було вкрадено Поповнення запасів

BlockBeats: Яке поточне рішення?

3D: Простіше кажучи, ми втратили 15,5% нашого основного боргу. Спільнота хотіла б, щоб вони вжили заходів, оскільки загальні збитки склали близько $10 млн. Один із розробників у їхній команді вніс близько 1,5 мільйона, а зі скарбниці вони взяли близько 800 000, що загалом становить трохи більше 20%.

Їхня позиція така: «Ти бачиш, ми теж втратили гроші, не женіться за ними більше». Але питання в тому, чому ви не використовуєте ці гроші для спілкування з хакерами? Наприклад, «Ви віддаєте гроші, а ми винагороджуємо вас цією частиною у вигляді білого капелюха», хіба не всі будуть щасливі? Але вони цього зовсім не зробили.

BlockBeats: Чому ви взагалі обрали саме цей протокол для Майнінг?

3D: Я був залучений до проекту Resupply приблизно на початку квітня. У той час, коли я гортав Twitter, я побачив, що людина, за якою я давно стежу, викладає пов'язаний контент, а пізніше побачив, що Curve офіційно ретвітнув його, що привернуло мою увагу.

Озираючись назад, це виглядає дивно з логіки проекту, він, схоже, не хоче заробляти гроші самостійно, а більше схожий на те, щоб допомогти Curve «підвищити» використання crvUSD. Оскільки crvUSD сам по собі не має практичної користі, він розробив механізм для примусового використання варіанту використання, а потім використовував стимули, щоб спонукати людей до участі.

З точки зору нас, учасників, це схоже на старшого брата, який хоче отримати дані платформи і просить свого «молодшого брата» підтримати сцену, і Curve дійсно дав йому певну підтримку, тому ми не думали, що в цьому є щось погане на той момент.

Для тих з нас, хто займається майнінгом або арбітражем, зіткнувшись з новим проектом, ми спочатку оцінимо два ключових моменти: перший - це сам продукт, як він працює? Звідки беруться гроші, які ви заробляєте? Друге – це фон вечірки проекту, тобто так звана «виїзна» і «виїзна» інформація. На мою тодішню думку, логіка Resupply була відносно простою та інтуїтивно зрозумілою.

BlockBeats: А хто, на вашу думку, несе відповідальність після аварії? Які ключові рішення прийняла команда Resupply після того, як це сталося? Якщо порівнювати його зі зрілими платформами протоколів DeFi, які очевидні прогалини в їхніх процесах реагування?

3D: Я думаю, що найбільша проблема з тим, як вони справляються з наслідками, полягає в тому, що вони взагалі не мають відчуття реагування на кризу. Я не займався навіть найелементарнішими речами спочатку. Це кожен може знайти в інтернеті, і Cosine Boss також згадав про це: вони не викликали публічно хакерів, не випустили анонсу, щоб пояснити ситуацію, не кажучи вже про активацію будь-яких юридичних механізмів чи механізмів підзвітності – вони навіть не намагалися спілкуватися з хакерами, вони були абсолютно laissez-faire.

Як мінімум, інші проєкти робитимуть оголошення, призупинятимуть контракти, звертатимуться до білих капелюхів і намагатимуться повернути кошти, але все це не робиться. Наче цього не сталося.

Також ми не розуміємо, чому команда проєкту не веде активної комунікації зі спільнотою. Весь інцидент призвів до втрати майже 10 мільйонів, а їхня власна команда внесла лише близько 1,5 мільйона для розробника, плюс близько 800 000 юанів зі скарбниці проєкту, що покрило близько 20% збитків. Як не крути, але це всього лише символічний «сенс», крапля в морі.

Їхня позиція в основному така: «Ви бачите, ми теж втрачаємо гроші, не турбуйте нас більше». Але проблема в тому, що вони, очевидно, можуть використовувати гроші для переговорів з хакерами і дати зрозуміти, що поки ви повертаєте гроші, ці гроші будуть розглядатися як винагорода в білому капелюсі, і всі будуть задоволені. Але вони зовсім не вжили цього заходу.

У повідомленні 3D на офіційному форумі Resupply пропонувалося спробувати поговорити з хакерами у вигляді бонусу в білому капелюсі, але воно не отримало відповіді

Перша полягає в тому, що вони вкрай пасивні або навіть абсолютно неактивні у відновленні зламаних активів. Минуло кілька днів з моменту інциденту минулого четверга, а суттєвого прогресу досі немає.

Другий момент – вони вкрай зарозумілі та байдужі до громади. Як тільки інцидент вийшов назовні, багато наших користувачів вперше зайшли в Discord запитати, але вони прямо якісно сказали, що «збитки несуть люди в страховому пулі», і місця для базового обговорення не було. Ми поставили під сумнів їхній підхід, заявивши, що в документації не зазначено, що користувачі повинні нести такі збитки, лише для того, щоб їх висміювали, атакували і навіть банили.

Вони також сказали: «Ви отримуєте 17% річного прибутку, тому ви ризикуєте». Ця логіка просто не витримує критики, і те, що ми беремо участь у стратегії на 17% річних, не означає, що ми несемо повну відповідальність за крадіжку протоколу.

Відгуки в нашій групі були одностайними, не те, що втрачати гроші було найнезручніше, а те, що досвід приниження та блокування в Discord був більш обурливим. Є дві основні причини, чому цей інцидент викликав таку бурхливу реакцію: бездіяльність команди проекту та їхнє зневажливе ставлення до користувачів.

Якщо вони дійсно не можуть дозволити собі програти, вони можуть чітко заявити про своє ставлення, наприклад, спочатку взяти 3 мільйони і залишити 7 мільйонів для пропорційного розподілу всіх користувачів, що також сильніше, ніж зараз. Але їх спосіб боротьби з цим полягає в тому, щоб безпосередньо «вивезти» користувачів страхового пулу і взяти на себе повну відповідальність. Їхня мета при цьому очевидна, яка полягає в тому, щоб підтримувати протокол у робочому стані та не дозволити проекту померти.

Найіронічніше те, що, дивлячись на зроблене тоді оголошення, вони майже не назвали суму збитків, а лише легковажно сказали, що зіткнулися з лазівкою, призупинили ринок, а все інше пішло своєю чергою, що дуже безвідповідально.

Що ще серйозніше, так це те, що хакер викарбував 10 мільйонів стейблкоїнів за нульовою вартістю через лазівки, щоб продати ринок, безпосередньо зламавши оригінальний механізм із надмірним забезпеченням, так що за стейблкоїном більше не залишається достатньої підтримки активів. У цьому випадку сторона проекту все одно не призупинила дію угоди і дозволила користувачеві самостійно керувати виведенням.

В результаті користувачі, які бігали швидко, були виведені, а пул сховища був повністю заблокований через 7-денну затримку виведення. Що ще більш обурливо, так це те, що вони запустили нову пропозицію призупинити виведення коштів зі страхового пулу та подальше заморожування активів користувачів. Що стосується їхньої заяви про те, що «проблемні борги має нести страховий пул», то в протоколах DeFi взагалі немає прецеденту. Вони в черговий раз прорвалися в нижню лінію галузі, а раціональності в управлінні взагалі немає.

BlockBeats: Чи коли-небудь проекти використовували цей страховий пул для покриття збитків раніше?

3D: Страховий пул взагалі несе чорний борг.

Є лише три способи участі в проекті Resupply: застава, револьверний кредит та груповий LP. Насправді, з точки зору очікувань користувачів, стейкінг – це найстабільніша група людей у ньому, але зараз їм доводиться нести всі ризики. Основне питання полягає в очікуванні користувачем страхового пулу, і ми всі вважаємо, що до тих пір, поки несеться безнадійна заборгованість, викликана коливаннями ринку.

Тоді я провів аналогію про страховий пул, яка може бути не дуже точною, але, ймовірно, це означає, що це ніби ви купили продукт для управління капіталом на Binance, а Binance був вкрадений, і він каже вам: «Ви тут не для того, щоб заощадити гроші?». Втрати несуть усі, особливо ті з вас, хто купив фінансовий менеджмент». Нарешті, втрачені гроші будуть вирахувані лише з коштів користувача, а інших це не торкнеться.

Насправді, деякі біржі були вкрадені в минулому, і всі користувачі несуть збитки пропорційно, але цього разу цього не сталося. Вони лише змушують користувача управління капіталом нести всі збитки. Їхня логіка така: «Якщо ти хочеш заробляти 2% річних, ти маєш за це відповідати». Є навіть люди, які кажуть, що «безкоштовного обіду не буває», а це означає, що ви заслуговуєте нести втрати від цієї крадіжки, якщо берете 17% від річного доходу, що обурливо.

Яку роль відіграла Крива в цьому потрясінні?

BlockBeats: Ви згадали, що брали участь у Resupply, тому що довіряли Curve, тож який, на вашу думку, зв'язок між Resupply та Curve? Чи вважаєте ви, що «різка» позиція Curve після інциденту є розумною?

3D: Я думаю, що це можна побачити на двох рівнях. По-перше, це логіка на поверхні - цей проект дійсно служить і підтримує Curve, а також він є проектом в екосистемі Curve.

Але з іншого боку, люди зі здоровим глуздом зроблять розумне міркування: ви бачите, що дизайн цього протоколу в основному полягає в наданні послуг Curve, а якщо сказати прямо, то це роль «молодшого брата». В іншому випадку його існування майже безглузде, а його основна логіка полягає в тому, щоб субсидувати дохід протоколу Curve за рахунок власних монет для майнінгу.

Ви кажете, що така річ, яка нічого не вимагає взамін і є чисто переливанням крові, якщо це не справжнє кохання, хто це зробить? Особливо його токен, тоді я думав, що проєкт не протримається місяць, тому що загальна історія не була привабливою, а в кінцевому підсумку йшлося про те, щоб принести якісь нові прирости до стейблкоїну Curve, а суті не було.

Але потім ви бачите, ціна стабілізувалася, і вона довгий час була стабільною. Я думав, а хто за цим стоятиме? Якщо подумати, то найбільш правдоподібне пояснення полягає в тому, що Curve робить це самостійно. Кому це вигідно, і хто найбільше мотивований на стабілізацію ситуації - це міркування здорового глузду, хоча реальних доказів немає, але поки мозок правий, про це напевно можна подумати.

Цінова дія нативних токенів

Перед аварією Curve кричав, що це хороший проект, але тепер, коли він потрапив в аварію, він відразу прояснився, сказавши: «Це просто екологічний проект, він не має до мене ніякого відношення». Це ставлення таке ж, як і в деяких новинах, які ми зазвичай бачимо: якщо щось трапляється, це «тимчасовий працівник». Тепер, коли навіть нас, користувачів, забанили, як далеко ви кажете, що це сталося?

Без підтримки Curve Resupply не змогла б зібрати стільки грошей. Ми не були залучені через команду розробників, яка насправді не мала хорошої репутації. Якщо це просто вони роблять проєкт самотужки, ми точно не будемо залучені.

Є дві причини, чому ми дійсно вирішили взяти участь: одна полягає в тому, що її бізнес-модель обертається навколо стабільного монета Curve, що логічно еквівалентно допомозі Curve розвиватися, і ці зобов'язуючі відносини змушують людей відчувати себе у відносній безпеці; По-друге, компанія Curve офіційно визнала проект на той момент, і навіть схвалила його.

Що стосується ваших слів про те, що партія проекту має чорну історію, це правда, але цього разу вони не змінили жилети, а продовжили використовувати свою оригінальну ідентичність для виконання проєктів, що певною мірою можна розцінювати як своєрідну відповідальність за «справжнє ім'я».

BlockBeats: Чи несе в цьому випадку солідарну відповідальність офіційна публічність Curve та схвалення Resupply? Як ви оцінюєте конфлікт інтересів між «постфактум відкиданням» та «просуванням ex-ante» з екологічної сторони?

3D: Я не думаю, що «різка» поведінка Curve після інциденту є абсолютно нерозумною. Якби я одного разу порекомендував певний пул для майнінгу, навіть якщо у мене не було ні копійки, ні якогось інтересу, і з шахтою щось трапилося, я був би першим, хто висловився б і розповів людям, які стежать за мною, що зараз не так, і я буду стежити за цим.

Curve активно схвалював проект, коли він працював нормально на початку, а коли проект йшов не так, у нього було ставлення «нічого спільного зі мною», він сказав кілька слів «шкодую», а потім відмахнувся від нього, що дійсно неприйнятно.

Як не наступити на яму в гірничодобувній промисловості?

BlockBeats: У чому найбільша складність у захисті прав користувачів DeFi сьогодні?

3D: В основі проблеми лежить недостатня ясність і відсутність регулювання в самій галузі. У цьому випадку відстоювати права насправді дуже складно.

Якщо ви користувач із США, ситуація може бути дещо кращою. Оскільки Сполучені Штати мають юрисдикцію «довгої руки», вони можуть здійснювати відповідальність через кордони за допомогою законних засобів, і навіть можливо стягнути частину коштів і повідомити про збитки уряду. Але для нас такого каналу в принципі не існує.

BlockBeats: То які є поточні способи захисту прав цих великих пошкоджених власників?

3D: Ні, інакше хто захоче бути клоуном в інтернеті?

Зрештою, у нас просто немає ефективних каналів для захисту наших прав. До тих пір, поки сторона проекту визнана безвідповідальною, користувачі можуть покладатися тільки на власний голос і організовувати дії. Для мене, хоча фінансові збитки були не великими, я відреагував особливо сильно, бо вважав, що це образа. Якщо у всіх учасників проекту буде таке ставлення, то індустрія взагалі не зможе грати.

Чесно кажучи, це дійсно холодно. Сьогодні мене зіпсували, завтра це можете бути ви, поки ви все ще перебуваєте в цьому колі, ви завжди будете стикатися з подібними речами. Як каже стара приказка: «Справжній героїзм – це той, хто обирає любити, побачивши правду». Ось так ми можемо тільки дивитися на індустрію. Щоб вирішити проблему, з одного боку, від сторони проекту залежить моральний підсумок, а з іншого боку, галузь також повинна мати базову самодисципліну.

BlockBeats: На яку інформацію ви акцентуєте увагу, коли проект новий або все ще знаходиться в період просування?

3D: Коли проект тільки запускається або знаходиться на стадії пітчингу, я зазвичай зосереджуюся на кількох речах.

По-перше, це бізнес-модель. На чому саме заробляє цей проект? Де джерело прибутку? Це найголовніше, але й найважливіше питання.

Друге - це інформація на місці, тобто механізм роботи самого протоколу, наприклад, чи відбувається приплив і відтік коштів, чи є "точки застрягання" - наприклад, чи є блокування часу для вхідних і вихідних коштів, або чи є висока комісія за обробку, які безпосередньо пов'язані з користувацьким досвідом і ризиком.

Третє – зовнішня інформація. Я хочу подивитися, чи ця команда робила проекти раніше, чи є вона анонімною, чи є підтримка з боку інвестиційних інститутів, хто за цим стоїть, і чи можу я отримати якусь довідкову інформацію.

Крім того, я візьму на себе ініціативу поспілкуватися з Discord команди проєкту, щоб перевірити, чи надійна їхня реакція та реакція команди. Дехто дивиться на аудиторські звіти, але я хотів би нагадати, що багато проєктів, які провалилися, насправді пройшли аудит. Максимум, аудит може показати, чи готова сторона проекту витратити гроші на проходження процесу, і не свідчить, що проект дійсно безпечний.

BlockBeats: Ви все ще впевнені в екосистемі Curve, страховому механізмі та системі стейблкоїнів?

3D: Крива знаходиться в незручному положенні. Його початкова ніша в першу чергу була розроблена для вирішення проблеми Uniswap V2 з глибиною торгівлі стейблкоїнами. Оскільки механізм постійного маркет-мейкінгу продуктів V2 не дуже добре працює серед стейблкоїнів, потрібно багато грошей, щоб витягнути глибину. У той час Curve запропонувала більш плавний дизайн кривої, зосередившись на біржах стейблкоїнів. Можна сказати, що компанія покладалася на цю диференціацію, щоб міцно закріпитися в DeFi з самого початку, і як інфраструктурний продукт логіка зрозуміла. Але зараз є тиск на бізнес Флойда, і я думаю, що він йде вниз, але я все ще впевнений у системі стейблкоїнів.

Я насправді останнім часом дуже хвилююся. Хоча особисто я цього разу не сильно втратив, але найбільшим ударом для мене стали не гроші, а впевненість. Я завжди був у цій галузі, не можу сказати, наскільки я її люблю, але принаймні я був відданий їй протягом тривалого часу. Але зараз у мене починають з'являтися серйозні сумніви щодо стійкості галузі – якби всі учасники проекту були такими, індустрія не змогла б продовжувати.

Іші вивів всі шахти, і тепер він планує тільки запастися біткоіни і більше нічого не чіпати. Ви думаєте, що наші 15,5% втрати цього разу еквівалентні річній прибутковості одного року майнінгу безпосередньо до нуля. Спочатку ми використовували стратегію з відносно низьким ризиком, а не десятикратний щоденний прибуток з високим кредитним плечем. Заробив 15 балів за рік, а тепер за день пропало, хто може це витримати?