Entrevista com as vítimas da Resupply, quem deve ser responsabilizado pelos 9,6 milhões de dólares?

Passou uma semana desde que o Resupply foi roubado. No dia 26 de junho, o mercado da moeda estável "wstUSR" do protocolo DeFi Resupply sofreu uma falha de segurança, resultando na perda de aproximadamente 9,6 milhões de dólares em encriptação. "Quem anda à beira do rio, acaba por molhar os sapatos", o jogador OG de DeFi 3D publicou vídeos de defesa dos direitos no seu canal do Youtube durante três dias consecutivos. A BlockBeats entrou em contato com 3D e conversou com ele sobre a série de reflexões após este evento de roubo, como um dos afetados.

3D é um dos primeiros usuários a participar da mineração deste protocolo, sua identidade é tanto a de um jogador de mineração quanto a de um criador de conteúdo. Nesta entrevista, ouvimos suas dúvidas, emoções e algumas das regras não ditas que o setor não quer admitir. Ele falou sobre o "endosse padrão" da Curve, sobre a resposta passiva dos projetos em relação aos hackers, e também sobre o processo de ser bloqueado e humilhado pela comunidade ao reivindicar seus direitos.

Em comparação com a perda financeira, na narrativa em 3D, o que mais o entristeceu foi a erosão da confiança na indústria. Ele admitiu que, embora não tenha sido o que mais perdeu, é o que está mais zangado - não por causa do dinheiro, mas por causa da indiferença e da humilhação como usuário. Sua experiência reflete a situação comum de inúmeros participantes de Finanças Descentralizadas - falta de clareza nas responsabilidades, impossibilidade de defesa dos direitos e repetidas concessões nos limites éticos.

Segue todo o conteúdo da conversa:

**BlockBeats：**Por favor, 3D, faça uma breve apresentação de si mesmo.

**3D：**O nome que uso na internet é 3D, atualmente meu trabalho principal ainda é mineração própria, entrei no mercado desde a rodada de ICO de 2017, mas realmente comecei a me concentrar em Finanças Descentralizadas e arbitragem a partir do DeFi Summer de 2020, e também opero um canal no Youtube focado em arbitragem DeFi — Canal de Criptomoedas 3D.

**BlockBeats：**Atualmente, quanto capital está em risco? Como podemos estimar ou medir a escala das perdas reais?

**3D：**O total de fundos atualmente visível basicamente corresponde ao volume do fundo de seguros - cerca de 38 milhões de dólares.

**BlockBeats：**Qual foi a proporção de usuários chineses desta vez?

**3D：**Não estou muito claro sobre isso. No entanto, as vozes que mais se destacaram e se manifestaram mais cedo em defesa dos direitos foram, de fato, eu e Yishi, nós basicamente iniciamos a luta. Os usuários de língua chinesa se manifestaram de forma mais concentrada, claro que também há alguns usuários de língua inglesa, mas o volume geral é relativamente muito menor.

Reabastecimento após o roubo

BlockBeats： Qual é a solução atual?

3D： Em termos simples, nosso capital teve uma perda direta de 15,5%. A comunidade realmente espera que eles tomem alguma ação, afinal, a perda total desta vez é de cerca de dez milhões de dólares. Um dos desenvolvedores da equipe perdeu cerca de 1,5 milhões, e eles pegaram cerca de 800 mil do tesouro, ou seja, no total não passa de 20%.

A atitude deles é como se dissessem: "Veja, nós também perdemos dinheiro, não persiga mais isso". Mas a questão é por que não usam esse dinheiro para se comunicar com os hackers? Por exemplo, "Você devolve o dinheiro, e nós lhe damos esta parte como recompensa de chapéu branco", assim não seria uma situação em que todos saem felizes? Mas eles não fizeram isso de forma alguma.

**BlockBeats：**Por que escolher este protocolo de mineração desde o início?

**3D：**O tempo que participei no projeto Resupply foi, aproximadamente, no início de abril. Naquela altura, vi uma pessoa que sigo há muito tempo a publicar conteúdo relacionado no Twitter, e depois vi que o oficial da Curve também retweetou, o que chamou a minha atenção.

Falando depois do fato, do ponto de vista da lógica operacional do projeto, é bastante estranho. Não parece que eles queiram ganhar dinheiro, mas sim que estão mais interessados em ajudar a Curve a "aumentar" o uso do crvUSD. Como o crvUSD em si não tem muita utilidade prática, eles criaram um caso de uso forçado através do mecanismo de design e depois usaram incentivos para guiar a participação de todos.

Do ponto de vista dos participantes como nós, isso é como se um grande irmão quisesse puxar os dados da plataforma, pedindo ao seu "pequeno irmão" para fazer a cena, e de fato a Curve lhe deu certa validação, então na época não achamos que havia algum problema.

Como nós que fazemos mineração ou arbitragem, ao encontrar novos projetos, sempre avaliamos dois pontos-chave: primeiro, o produto em si, como ele realmente funciona? De onde vem o dinheiro que você ganha? Segundo, o histórico da equipe do projeto, ou seja, é necessário fazer uma pesquisa completa sobre as informações "on-chain" e "off-chain". Na minha avaliação na época, a lógica do produto Resupply era relativamente simples e intuitiva.

BlockBeats: Então, na sua opinião, quem deve ser responsabilizado após o incidente? Que decisões-chave a equipe do Resupply tomou após o ocorrido? Se compararmos com plataformas de protocolo DeFi maduras, quais são as diferenças óbvias em seus processos de resposta?

3D： Eu acho que o maior problema que eles tiveram na gestão pós-evento foi a total falta de consciência de crise. No primeiro momento, nem as coisas mais básicas foram feitas. Isso todos podem encontrar online, e o grande Yuxian também mencionou: eles não só não fizeram um apelo público aos hackers, como também não emitiram um comunicado explicando a situação, e ainda não ativaram qualquer mecanismo legal ou de responsabilização — nem sequer tentaram comunicar-se com os hackers, foi completamente negligenciado.

Outros projetos pelo menos costumam emitir anúncios, suspender contratos, contatar hackers éticos e tentar recuperar fundos, mas eles não fizeram nenhuma dessas operações básicas. Eles agem como se nada tivesse acontecido.

Nós também não entendemos por que a equipe do projeto não se comunica ativamente com a comunidade. Todo o evento resultou em perdas de quase dez milhões, enquanto um único desenvolvedor da própria equipe contribuiu com cerca de 1,5 milhão, além de a tesouraria do projeto ter disponibilizado cerca de 800 mil, totalizando cerca de 20% das perdas. De qualquer forma que se olhe, isso parece apenas uma "gestão simbólica", uma gota no oceano.

A atitude deles é basicamente "Veja, nós também estamos perdendo dinheiro, não nos incomode mais." Mas o problema é que eles claramente poderiam pegar esse dinheiro e negociar com o hacker, explicando que, desde que você devolva o dinheiro, isso será considerado uma recompensa de "chapéu branco", e todos ficariam felizes. Mas eles não tomaram essa medida de forma alguma.

3D no fórum oficial da Resupply deixou uma mensagem sugerindo tentar negociar com os hackers usando uma recompensa de chapéu branco, mas ainda não obteve resposta.

O primeiro ponto é que eles se mostram extremamente passivos na recuperação dos ativos dos hackers, chegando mesmo a não agir. Desde o incidente da última quinta-feira, já se passaram alguns dias e ainda não houve progresso substantivo.

O segundo ponto é que a atitude deles em relação à comunidade é extremamente arrogante e indiferente. Assim que a situação ocorreu, muitos dos nossos usuários foram imediatamente ao Discord perguntar, mas eles simplesmente qualificaram dizendo "as pessoas do fundo de seguro devem arcar com as perdas", sem sequer deixar espaço para uma discussão básica. Questionámos as suas ações, dizendo que o documento não esclarecia que os usuários precisavam arcar com tais perdas, e acabámos por ser zombados, atacados, e até mesmo banidos.

Eles também disseram "Vocês ganharam 17% de rendimento anual, então devem assumir o risco correspondente." Essa lógica simplesmente não faz sentido, nós apenas participamos de uma estratégia de 17% ao ano, e isso não significa que devemos ser totalmente responsáveis pelo roubo do protocolo.

O feedback do nosso grupo é muito consistente, não é a perda de dinheiro que é mais dolorosa, mas sim a experiência de ser humilhado e bloqueado no Discord que é mais frustrante. A razão pela qual este incidente gerou uma reação tão forte tem dois motivos centrais: a inação da equipe do projeto e o desdém que eles têm pelos usuários.

Se eles realmente não podem arcar com isso, podem ter uma atitude clara, como apresentar 3 milhões primeiro e fazer com que os restantes 7 milhões sejam partilhados proporcionalmente por todos os usuários, isso é melhor do que a situação atual. Mas a forma como estão a lidar com isso é retirar diretamente os usuários do fundo de seguros e colocar toda a responsabilidade sobre eles. O objetivo deles é muito claro, que é manter o protocolo em funcionamento e não deixar o projeto morrer.

O mais irônico é que, ao ver o anúncio que emitiram na altura, quase não mencionam o valor das perdas, apenas mencionam de forma superficial que encontraram uma falha e suspenderam um mercado, enquanto os outros continuam normalmente. Este tipo de divulgação de informações é extremamente irresponsável.

Mais grave ainda, os hackers exploraram uma vulnerabilidade para cunhar dez milhões de moeda estável sem custo e despejaram no mercado, quebrando diretamente o mecanismo de sobrecolateralização que existia, fazendo com que não houvesse ativos suficientes para suportar a moeda estável. Nesta situação, a equipe do projeto ainda não suspendeu o protocolo, permitindo que os usuários retirassem seus investimentos por conta própria.

O resultado é que os usuários que correm mais rápido saíram, enquanto as pessoas do fundo de seguro ficaram totalmente bloqueadas devido a um atraso de 7 dias na retirada. O mais absurdo é que eles lançaram uma nova proposta para suspender as retiradas do fundo de seguro, congelando ainda mais os ativos dos usuários. Quanto à afirmação deles de que "as dívidas ruins devem ser suportadas pelo fundo de seguro", isso não tem precedentes no protocolo DeFi. Eles mais uma vez ultrapassaram os limites da indústria, sem qualquer racionalidade de governança.

BlockBeats： Houve algum projeto no passado que utilizou este fundo de seguro para suportar perdas?

3D： O fundo de seguro não tem contas não registradas.

Participar no projeto Resupply tem apenas três formas de jogar: staking, empréstimos circulares e formação de LP. Na verdade, do ponto de vista das expectativas dos usuários, o staking é a opção mais estável, no entanto, agora eles têm que assumir todo o risco. A questão central reside nas expectativas dos usuários em relação ao fundo de seguro; todos nós acreditamos que basta assumir as perdas causadas pela volatilidade do mercado.

A questão do fundo de seguro eu fiz uma comparação na altura, pode não ser muito precisa, mas é mais ou menos esse o sentido, é como se você comprasse um produto de investimento na Binance, e a Binance fosse assaltada, e ela dissesse: "Você não veio aqui para guardar dinheiro? Então todos nós vamos arcar com a perda juntos, especialmente vocês, os usuários que compraram o produto de investimento." No final, o dinheiro perdido seria descontado apenas dos fundos dos usuários que investiram, os outros não seriam afetados.

Na verdade, anteriormente, algumas exchanges foram hackeadas, e todos os usuários suportaram as perdas proporcionalmente, mas desta vez não foi assim. Eles apenas deixaram os usuários de investimentos suportarem todas as perdas. A lógica deles é: "Se você quer aproveitar 2% de juros anuais, deve assumir a responsabilidade por isso." Há até quem diga que "não há almoços grátis no mundo", o que significa que, se você recebeu 17% de retorno anual, deve arcar com as perdas causadas por este roubo. Esse tipo de afirmação é absolutamente absurdo.

Que papel desempenhou a Curve nesta tempestade?

BlockBeats: Você mencionou que participou do Resupply por confiar na Curve, então qual você acredita que seja a relação entre o Resupply e a Curve? Você acha que a atitude de "corte" da Curve após o evento é razoável?

3D: Eu acho que isso pode ser visto em duas camadas. A primeira é a lógica superficial - este projeto realmente serve o Curve e também o endossa, sendo ele próprio um projeto dentro do ecossistema Curve.

Mas, por outro lado, uma pessoa com um pouco de discernimento faria uma dedução razoável: veja que o design deste protocolo é basicamente para servir a Curve, ou seja, desempenha o papel de "irmão mais novo". Caso contrário, a sua existência seria quase sem sentido, a sua lógica central é usar a sua própria moeda para subsidiar a receita do protocolo da Curve..

Tu dizes que este tipo de coisa, que não espera retorno e é puramente uma transfusão, a menos que seja amor verdadeiro, quem é que o faria? Especialmente o seu token, na altura eu achava que este projeto não aguentaria mais de um mês, porque a história geral não tinha grande atratividade, no fundo era apenas para dar um novo volume à moeda estável da Curve, não tinha conteúdo substancial.

Mas depois você vê, esse preço conseguiu se manter estável, ficou estável por muito tempo. Naquela época, eu estava pensando, quem está sustentando isso? Pensando bem, a explicação mais razoável é que a própria Curve está sustentando. Quem se beneficia disso, quem tem mais motivação para manter a situação estável — isso é uma dedução de bom senso, embora não haja provas concretas, mas desde que a pessoa tenha um raciocínio normal, provavelmente consegue pensar nisso.

Tendência de preço do token nativo Resupply

Antes de acontecer o problema, a Curve fazia alarde dizendo que este era um bom projeto, agora que aconteceu, imediatamente se distanciam, dizendo "é apenas um projeto ecológico, não tem nada a ver comigo". Essa atitude é semelhante ao que vemos em algumas notícias: uma vez que há problemas, é "trabalho temporário". Agora até nós, os usuários, estamos com contas banidas, você pode imaginar a gravidade da situação?

Se não fosse pelo endorsement da Curve, a Resupply nunca conseguiria levantar tanto dinheiro. A razão pela qual participamos não é por causa da sua equipa de desenvolvimento - na verdade, a reputação dessa equipa não é boa. Se fossem apenas eles a fazer um projeto, definitivamente não participaríamos.

Realmente há duas razões que nos fazem escolher participar: a primeira é que o seu modelo de negócio gira em torno da moeda estável da Curve, logicamente isso equivale a ajudar a Curve a crescer, essa relação de ligação parece relativamente segura; a segunda é que a Curve oficial na época também reconheceu publicamente este projeto, até mesmo dando apoio a ele.

Quanto ao que você disse sobre a equipe do projeto ter um histórico negativo, é verdade, mas desta vez eles não mudaram de identidade, mas continuaram a usar a identidade original para o projeto, o que de certa forma pode ser considerado uma forma de responsabilidade "em nome próprio".

BlockBeats: A Curve deve assumir responsabilidade solidária pela promoção e endosse oficial do Resupply neste evento? Como você vê o conflito de interesses entre a "desvinculação pós-evento" e a "promoção pré-evento" do lado ecológico?

3D： Eu acho que o comportamento de "corte" da Curve após o evento é completamente irracional. Você quer que eu, mesmo sendo um pequeno KOL, se eu já recomendei um determinado pool de mineração, mesmo que eu não tenha recebido um centavo, sem nenhuma relação de interesse, se esse pool tiver problemas, eu serei a primeira a me pronunciar, informando aqueles que me seguem sobre o que está acontecendo agora, eu irei acompanhar.

Quando o Curve estava a funcionar normalmente, apoiava ativamente o projeto, mas quando o projeto teve problemas, assumiu uma atitude de "não é da minha conta", dizendo algumas palavras de "lamento" e depois afastando-se completamente. Este tipo de comportamento é realmente difícil de aceitar.

Como evitar armadilhas na mineração?

BlockBeats: Qual é a maior dificuldade que os usuários de Finanças Descentralizadas enfrentam para proteger seus direitos atualmente?

**3D：**O cerne da questão reside na falta de clareza sobre direitos e responsabilidades, além da própria falta de regulamentação na indústria. Nessa situação, a defesa dos direitos é, na verdade, muito difícil.

Se forem usuários dos Estados Unidos, a situação pode ser um pouco melhor. Porque os Estados Unidos têm jurisdição extraterritorial e podem responsabilizar legalmente em outros países, até mesmo é possível recuperar parte dos fundos e declarar perdas ao governo. Mas para nós, basicamente não há esse tipo de canal.

BlockBeats: Quais são as maneiras de defesa que esses grandes investidores prejudicados têm atualmente?

**3D：**Não, senão quem estaria disposto a ser um palhaço na internet?

No final das contas, não temos canais eficazes para defender nossos direitos. Desde que os responsáveis pelo projeto estejam decididos a não assumir responsabilidades, os usuários só podem contar consigo mesmos para se manifestar e organizar ações. Para mim, este incidente, embora a perda financeira não seja grande, teve uma reação especialmente forte, porque sinto que é uma humilhação. Se todos os responsáveis pelos projetos adotarem essa atitude, então a indústria simplesmente não poderá continuar.

Para ser honesto, isso realmente deixa o coração frio. Hoje fui enganado, amanhã pode ser você; enquanto você estiver neste círculo, sempre encontrará coisas semelhantes. Como diz o velho ditado: "O verdadeiro heroísmo é continuar a amar mesmo após ver a verdade." É assim que devemos encarar este setor. Resolver problemas depende, por um lado, da equipe do projeto ter um mínimo de ética, e por outro lado, da indústria ter uma auto-regulação básica.

BlockBeats: Que informações você verificará com mais atenção quando o projeto acabar de ser lançado ou ainda estiver em fase de promoção?

3D： Quando o projeto acaba de ser lançado ou ainda está na fase de promoção, costumo prestar atenção a alguns aspectos.

A primeira é o modelo de negócios. Como é que este projeto ganha dinheiro? De onde vêm os lucros? Esta é a questão mais básica, mas também a mais crucial.

Em segundo lugar, a informação dentro do mercado, ou seja, o mecanismo de funcionamento do protocolo em si, como a fluidez dos fluxos de capital, se há "pontos de estrangulamento" - por exemplo, se há bloqueios temporais para a entrada e saída de fundos, ou se são cobradas altas taxas de transação, tudo isso está diretamente relacionado à experiência do usuário e ao risco.

Terceiro, informações fora do mercado. Quero saber se esta equipe já fez algum projeto antes, se é anônima, se tem o apoio de instituições de investimento, quem está por trás, se é possível obter algumas informações de fundo.

Além disso, também costumo ir ao Discord do projeto para conversar um pouco, ver como é a atitude de resposta deles e se a equipe é confiável. Algumas pessoas vão olhar o relatório de auditoria, mas quero lembrar uma coisa: muitos projetos que tiveram problemas também passaram por auditoria. A auditoria no máximo pode indicar se o projeto está disposto a gastar dinheiro para seguir o processo, não significa que o projeto seja realmente seguro.

BlockBeats: Você ainda tem confiança no ecossistema Curve, mecanismos de seguros e no sistema de moeda estável?

**3D：**A situação atual da Curve é realmente um pouco embaraçosa. O seu nicho original era principalmente para resolver o problema de profundidade de negociação de moedas estáveis no Uniswap V2. Como o mecanismo de criação de mercado de produto constante do V2 não funcionava bem entre moedas estáveis, era necessário alocar muitos fundos para aumentar a profundidade. A Curve, na época, propôs um design de curva mais suave, focando na troca de moedas estáveis. Pode-se dizer que, desde o início, ela se firmou no Finanças Descentralizadas devido a essa diferenciação, sendo um produto de infraestrutura, com uma lógica muito clara. Mas agora, com a pressão de negócios da Floyd, eu acho que ela está em uma trajetória de declínio, embora ainda tenha confiança no sistema de moedas estáveis.

Ultimamente, tenho estado especialmente ansioso. Embora a minha perda pessoal não seja muito grande desta vez, o maior golpe que isso me deu não foi o dinheiro, mas sim a confiança. Tenho estado neste setor há algum tempo, não posso dizer que sou um grande fã, mas pelo menos estive a investir a longo prazo. Mas agora, começo a duvidar seriamente da sustentabilidade deste setor — se todos os projetos forem assim, então este setor não conseguirá continuar.

Yishi retirou todas as minas, agora só planeja acumular Bitcoin, não vai tocar em mais nada. Você imagina que nossa perda de 15,5% equivale a um retorno anual de um ano de mineração que foi diretamente a zero. O que estávamos fazendo era uma estratégia de risco relativamente baixo, não é um jogo de alta alavancagem, onde se ganha dezenas de vezes por dia. Um ano de trabalho duro para ganhar 15 pontos, agora em um dia se foi, quem consegue suportar isso?