Интервью с жертвой Resupply: кто должен нести ответственность за 9,6 миллиона долларов?

Прошла неделя с момента кражи Resupply. 26 июня в стейблкоин «wstUSR Market» протокола DeFi Resupply произошла уязвимость безопасности, что привело к потере криптоактивов на сумму около 9,6 миллиона долларов. «Кто часто ходит по реке, тот не может не намочить обувь», игрок OG DeFi 3D на своем канале Youtube в течение трех дней подряд публиковал видео о защите своих прав. BlockBeats связались с 3D и поговорили с ним о том, как он, будучи потерпевшим, анализировал события после этой кражи.

3D является одним из первых пользователей, участвовавших в майнинге этого Протокола. Его идентичность одновременно является игроком в майнинг и создателем контента. В этом интервью мы услышали его сомнения, эмоции, а также некоторые неписаные правила, о которых в этой индустрии не принято говорить. Он говорил о «дефолтной поддержке» Curve, о пассивном реагировании проектов на хакеров, а также о процессе, когда сообщество подвергалось блокировкам и унижениям во время защиты своих прав.

По сравнению с потерями в деньгах, в рассказе о 3D его больше всего огорчает подрыв доверия к отрасли. Он откровенно признался, что хотя сам и не понес самых больших убытков, но он был самым сердитым — не из-за денег, а из-за того, что его игнорировали и унижали как пользователя. Его опыт отражает общие проблемы бесчисленных участников Децентрализованные финансы — неясность прав и обязанностей, отсутствие возможности отстаивать свои права, моральные границы, которые постоянно сдвигаются.

Следующее - все содержание разговора:

**BlockBeats：**Пожалуйста, 3D, сделайте простое само소개ение.

**3D：**Мое имя в сети — 3D, в настоящее время моя основная работа — это добыча, я вошел в индустрию еще с ICO 2017 года, но действительно начал сосредотачиваться на Децентрализованных финансах и арбитраже с волны DeFi Summer 2020 года, а также веду YouTube-канал, посвященный арбитражу в Децентрализованных финансах — 3D шифрование канал.

**BlockBeats：**Сколько средств в настоящее время пострадало? Какова масштаб реальных убытков и как их оценить или измерить?

**3D：**В настоящее время общая сумма средств, которую можно увидеть, в основном соответствует объему страхового пула — около 38 миллионов долларов.

**BlockBeats：**Так какова доля китайских пользователей в этот раз?

**3D：**Я не очень в этом разбираюсь. Но на этот раз наиболее громко и рано начали выступать за свои права именно мы с Yishi, мы как бы вышли на передний план. Китайские пользователи высказались более активно, хотя и англоязычные пользователи тоже немного выступали, но общий голос был значительно тише.

Resupply Время после кражи

BlockBeats： Какое текущее решение?

**3D：**Проще говоря, наш капитал потерял 15,5%. Сообщество на самом деле очень надеется, что они предпримут действия, ведь общие убытки составляют около десяти миллионов долларов. Один из разработчиков их команды потерял около 1,5 миллиона, а они взяли из казны около 800 тысяч, в общем, всего чуть больше 20%.

Их отношение похоже на то, что они говорят: «Смотрите, мы тоже потеряли деньги, не стоит больше разбираться». Но вопрос в том, почему бы вам не потратить эти деньги на общение с хакерами? Например, сказать: «Верните деньги, и эта часть будет вашим вознаграждением в качестве белой шляпы», разве это не сделает всех счастливыми? Но они совершенно этого не сделали.

**BlockBeats：**Почему вы выбрали этот Протокол для майнинга?

**3D：**Я начал участвовать в проекте Resupply примерно в начале апреля. В тот момент я увидел в Твиттере сообщение от человека, за которым я давно следил, а потом заметил, что и официальный аккаунт Curve тоже ретвитнул это, что привлекло мое внимание.

Говоря постфактум, с точки зрения логики работы проекта это довольно странно, он выглядит так, будто не стремится заработать сам, а скорее помогает Curve «поднять» использование crvUSD. Поскольку crvUSD сам по себе не имеет практического применения, он создал случай с помощью механизма дизайна, а затем с помощью стимулов стал направлять людей к участию.

С точки зрения нас, участников, это похоже на то, как старший брат хочет собрать данные платформы и просит своего «младшего брата» подержать обстановку, и действительно, Curve предоставил ему определенную поддержку, поэтому мы тогда не почувствовали, что есть какие-то проблемы.

Как и мы, занимающиеся майнингом или арбитражем, при встрече с новыми проектами мы сначала оцениваем два ключевых момента: во-первых, сам продукт, как он работает? Откуда у вас деньги? Во-вторых, фон проекта, то есть необходимо провести тщательное исследование как «внутренней», так и «внешней» информации. По моему мнению, логика продукта Resupply относительно проста и интуитивно понятна.

BlockBeats: Кто, по вашему мнению, должен нести ответственность после инцидента? Какие ключевые решения приняла команда Resupply после произошедшего? Если сравнить с成熟ными платформами Децентрализованных финансов, какие очевидные различия в их процессах реагирования?

**3D：**Я думаю, что их главная проблема в послепродажном обслуживании заключается в полном отсутствии кризисного реагирования. В первое время даже самые базовые вещи не были сделаны. Это все можно найти в интернете, и Юйсинь (余弦) тоже упоминал: они не только не обратились к хакерам с публичным заявлением, но и не выпустили объявления о ситуации, более того, они не запустили никаких юридических или ответственных механизмов — даже попыток связаться с хакерами не было, они просто все оставили на произвол судьбы.

Другие проекты, по крайней мере, публикуют объявления, приостанавливают контракты, связываются с белыми шляпами и пытаются вернуть средства, но они не сделали ни одной из этих базовых операций. Они ведут себя так, будто ничего и не произошло.

Мы также не понимаем, почему команда проекта не активно общается с сообществом. Вся ситуация привела к убыткам почти в десять миллионов, а их собственная команда, один разработчик, внесла всего около 1,5 миллиона, плюс проектный фонд выделил около 800 тысяч, что в сумме покрывает лишь около 20% убытков. Как бы ни смотреть на это, это всего лишь символическое "знак внимания", капля в море.

Их отношение в основном можно описать как «Смотрите, мы тоже потеряли деньги, не беспокойте нас больше». Но проблема в том, что они вполне могли бы использовать эти деньги для переговоров с хакерами, объяснив, что если они вернут деньги, то это будет считаться вознаграждением белых шляп, и все будут счастливы. Но они совершенно не предприняли таких мер.

3D оставил сообщение на официальном форуме Resupply, предлагая попробовать поговорить с хакерами, используя белые шляпы, но так и не получил ответа.

Первый пункт заключается в том, что они проявляют крайнее бездействие в вопросе взыскания активов хакеров, даже полностью игнорируя эту проблему. С момента происшествия в прошлый четверг прошло несколько дней, и до сих пор нет никаких реальных изменений.

Второй момент заключается в том, что их отношение к сообществу крайне высокомерно и безразлично. Как только произошел инцидент, многие наши пользователи сразу же пошли в Discord, чтобы задать вопросы, но они прямо заявили: «Пусть люди из страхового пула берут на себя убытки», даже не оставив базового пространства для обсуждения. Мы поставили под сомнение их действия, сказав, что в документации не указано, что пользователи должны нести такие убытки, в результате чего нас высмеивали, атаковали и даже просто забанили.

Они также сказали: «Если вы заработали 17% годовых, то должны нести соответствующие риски». Эта логика совершенно не выдерживает критики, мы просто участвовали в стратегии с 17% годовых, это не означает, что мы должны нести полную ответственность за кражу протокола.

Обратная связь в нашей группе была единодушной: не потеря денег больше всего огорчает, а оскорбления и блокировки в Discord вызывают гораздо большее возмущение. Причины такой сильной реакции на этот инцидент в основном две: бездействие со стороны проекта и пренебрежение к пользователям.

Если они действительно не могут покрыть убытки, можно четко обозначить позицию, например, сначала выделить 3 миллиона, а оставшиеся 7 миллионов позволить всем пользователям распределить пропорционально, это тоже лучше, чем сейчас. Но их способ решения проблемы заключается в том, что они просто «выносят» пользователей страхового пула и возлагают на них всю ответственность. Их цель вполне ясна — сохранить работу протокола и не дать проекту умереть.

Самое ироничное, что в их объявлении почти не упоминалась сумма убытков, лишь легкомысленно говорилось о возникновении уязвимости, приостановке одного рынка, в то время как остальная часть продолжала функционировать как обычно. Такой способ раскрытия информации крайне безответственен.

Более серьезно то, что хакеры через уязвимость без затрат создали десять миллионов стейблкоинов и сбросили их на рынок, что напрямую разрушило механизмы избыточного залога, так как за стейблкоинами больше не было достаточно активов для поддержки. В таких обстоятельствах команда проекта все равно не приостановила протокол, позволяя пользователям самостоятельно выводить средства.

Результатом стало то, что те пользователи, которые быстро убегали, ушли, а те, кто находился в страховом пуле, оказались полностью заблокированы из-за 7-дневной задержки вывода. Более того, они вновь инициировали новое предложение о приостановлении вывода из страхового пула, что еще больше заморозило активы пользователей. Что касается их заявления «плохие долги должны покрываться страховым пулом», то в протоколах Децентрализованных финансов это вообще не имеет прецедента. Они снова нарушили границы отрасли, полностью лишенные какой-либо разумности управления.

BlockBeats： А были ли раньше проекты, которые использовали этот страховой фонд для покрытия убытков?

**3D：**Страховой пул полностью не несет черные убытки.

Участие в проекте Resupply имеет только три способа: стейкинг, кредитование и создание ликвидности (LP). На самом деле, с точки зрения ожиданий пользователей, стейкинг привлекает самых осторожных людей, однако сейчас они вынуждены нести все риски. Основная проблема заключается в ожиданиях пользователей относительно страхового фонда, мы все считаем, что должны нести ответственность только за плохие долги, вызванные колебаниями рынка.

Ситуация с резервным фондом, которую я привел в пример, возможно, не совсем точна, но примерно такова: это как если бы вы купили инвестиционный продукт на Binance, и в результате Binance был взломан. Он говорит вам: «Вы ведь пришли сюда, чтобы хранить деньги, не так ли? Тогда убытки мы разделим между всеми, особенно между вами, пользователями, которые купили инвестиции». В конце концов, деньги будут вычтены только из средств пользователей, купивших инвестиционные продукты, остальные не пострадают.

На самом деле, раньше некоторые биржи подвергались хакерским атакам, и все пользователи несли убытки пропорционально, но в этот раз не так. Они заставили только пользователей финансовых продуктов нести все потери. Их логика такова: «Если вы хотите получить 2% годовых, то должны взять на себя ответственность». Некоторые даже говорят: «На свете нет бесплатного обеда», имея в виду, что если вы получили 17% годовых, вы должны принять на себя убытки от кражи, и это утверждение слишком абсурдно.

Какова роль Curve в этом конфликте?

BlockBeats: Вы упомянули, что когда-то доверяли Curve и участвовали в Resupply, так как вы считаете, что существует связь между Resupply и Curve? Считаете ли вы, что позиция Curve после события по «разделению» является разумной?

**3D：**Я думаю, что это можно рассматривать с двух сторон. Первая — это поверхностная логика — этот проект действительно служит Curve и поддерживает Curve, он сам также является проектом в экосистеме Curve.

Но с другой стороны, нормальный человек с хоть каким-то уровнем рассуждения сделает разумный вывод: посмотри на дизайн этого Протокола, он в основном создан для обслуживания Curve, если сказать проще, он выполняет роль «маленького брата». В противном случае его существование почти бессмысленно, его основная логика заключается в том, чтобы использовать свои собственные токены для субсидирования доходов от Протокола Curve.

Ты говоришь о таких бескорыстных, чисто благотворительных вещах, если это не настоящая любовь, то кто это будет делать? Особенно когда речь идет о его токене, я тогда думал, что этот проект не продержится и месяца, потому что в целом история не имеет никакой привлекательности, в конечном итоге это просто ради того, чтобы добавить немного новых объемов к стейблкоину Curve, ничего существенного.

Но потом ты посмотри, эта цена, оказывается, удерживалась, удерживалась долго. Я тогда думал, кто это поддерживает? Думал и думал, самое разумное объяснение — это то, что Curve сам поддерживает. Кто из этого выигрывает, у кого самая большая мотивация удерживать ситуацию — это элементарное рассуждение, хотя и нет прямых улик, но если голова на месте, то, наверное, все могут это понять.

Динамика цен на оригинальные токены Resupply

Перед тем как произошел инцидент, Curve громко заявлял, что это хороший проект, а теперь, когда возникли проблемы, сразу отстраняется, говоря: «это всего лишь экосистема проекта, и я не причастен». Это отношение похоже на то, что мы часто видим в новостях: как только что-то идет не так, все сразу говорят, что это было «временной работой». Теперь даже наши пользователи были заблокированы, вы говорите, до какого уровня это дошло?

Если бы не поддержка Curve, Resupply вряд ли смог бы привлечь столько денег. Мы участвуем не из-за его команды разработчиков — на самом деле, репутация этой команды не очень хорошая. Если бы они просто делали проект в одиночку, мы бы точно не участвовали.

На самом деле, есть две причины, по которым мы выбрали участие: во-первых, его бизнес-модель основана на стейблкоинах Curve, что логически означает помощь Curve в росте, эта связь создает ощущение относительной безопасности; во-вторых, официально Curve также публично признало этот проект, даже предприняв действия для его поддержки.

Что касается твоего утверждения о том, что у проекта есть черная история, это действительно так, но на этот раз они не сменили личину, а продолжили работать под своей оригинальной идентичностью, что в каком-то смысле можно считать формой «реальной» ответственности.

BlockBeats: Должны ли Curve нести совместную ответственность за официальное продвижение и поддержку Resupply в этом событии? Как вы рассматриваете конфликт интересов между «последующим очищением» со стороны экосистемы и «предварительным продвижением»?

**3D：**Я считаю, что действия Curve по "разделению" после произошедшего события совершенно необоснованны. Вы хотите, чтобы я, даже будучи небольшим KOL, если я когда-либо рекомендовал какой-то майнинг-пул, даже если я не получил ни копейки и не имел никаких интересов, как только этот майнинг-пул попал в беду, я сразу же высказался бы и сообщил бы своим подписчикам, что сейчас происходит, и я бы продолжал следить за ситуацией.

Curve изначально активно поддерживала проект, когда он нормально функционировал, но когда возникли проблемы, проявила отношение «меня это не касается», произнесла несколько слов «к сожалению» и затем полностью открестилась. Такое поведение действительно трудно принять.

Как избежать ошибок при майнинге?

BlockBeats: Какова главная проблема защиты прав пользователей DeFi в настоящее время?

**3D：**Суть проблемы заключается в неясности прав и обязанностей, а также в том, что сама отрасль страдает от отсутствия регулирования. В таких условиях защита прав является крайне сложной.

Если вы являетесь пользователем из США, ситуация может быть немного лучше. Потому что в США есть длинная юрисдикция, которая позволяет через юридические средства привлекать к ответственности за границей, и даже возможно вернуть часть средств, а также заявить о потерях в правительство. Но для нас, по сути, таких каналов нет.

BlockBeats: Какие способы защиты прав у этих пострадавших крупных инвесторов сейчас?

**3D：**Нет, иначе кто захочет быть клоуном в Интернете?

В конце концов, у нас нет никаких эффективных каналов защиты прав. Если инициаторы проекта решительно не берут на себя ответственность, пользователи могут лишь полагаться на собственный голос и организовывать действия. Для меня этот инцидент, хотя и не привел к большим финансовым потерям, вызвал особенно сильную реакцию, потому что я чувствую это как оскорбление. Если все инициаторы проектов будут придерживаться такого отношения, то в этой индустрии просто невозможно будет продолжать.

Честно говоря, это действительно довольно печально. Сегодня я попался, завтра это можешь быть ты, пока ты все еще в этом кругу, ты всегда будешь сталкиваться с подобными ситуациями. Как говорится: «Истинный героизм заключается в том, чтобы продолжать любить, даже увидев правду.» Мы можем только так смотреть на эту отрасль. Решение проблем, с одной стороны, зависит от того, чтобы у проектных команд была хоть какая-то моральная база, с другой стороны, отрасли также необходимо иметь базовую саморегуляцию.

BlockBeats: На каком информациях вы будете сосредотачиваться, когда проект только запускается или все еще находится на этапе продвижения?

**3D：**Когда проект только запускается или находится на стадии продвижения, я обычно обращаю внимание на несколько аспектов.

Первое — это бизнес-модель. На чем именно зарабатывает этот проект? Откуда поступает прибыль? Это самый базовый, но и самый ключевой вопрос.

Во-вторых, информация внутри площадки, то есть механизм работы самого протокола, например, гладкость поступления и вывода средств, есть ли «узкие места» — например, есть ли временные замки на вход и выход средств или взимается ли высокая комиссия, все это напрямую связано с пользовательским опытом и рисками.

Третье — информация вне площадки. Я хочу знать, делала ли эта команда ранее проекты, являются ли они анонимными, есть ли поддерживающие инвестиционные организации, кто стоит за ними, можно ли узнать какую-то фоновую информацию.

Кроме того, я также буду активно общаться с командой проекта в Discord, чтобы посмотреть на их реакцию и определить, насколько надежна команда. Некоторые люди обращают внимание на аудиторские отчеты, но я хочу напомнить: многие проекты, у которых были проблемы, тоже прошли аудит. Аудит может лишь показать, готовы ли разработчики потратить деньги на прохождение процедуры, но это не означает, что проект действительно безопасен.

BlockBeats: Ты все еще веришь в экосистему Curve, механизмы страхования и систему стейблкоинов?

**3D：**Ситуация с Curve сейчас довольно неловкая. Его первоначальная экосистема была в основном предназначена для решения проблемы глубины торговли стейблкоинами в Uniswap V2. Поскольку механизм постоянного произведения V2 плохо работает между стейблкоинами, необходимо вложить много средств, чтобы создать глубину. В то время как Curve предложил более плавный дизайн кривой, сосредоточив внимание на обмене стейблкоинов. Можно сказать, что он изначально укрепился в Децентрализованных финансах благодаря этой дифференциации, как продукт инфраструктуры, логика была ясна. Но сейчас, с давлением бизнеса от Floyd, я думаю, что он идет на спад, хотя у меня все еще есть уверенность в системе стейблкоинов.

Я в последнее время действительно очень тревожен. Хотя мои личные убытки не так уж велики, для меня самым большим ударом стало не деньги, а уверенность. Я уже долгое время нахожусь в этой отрасли, нельзя сказать, что я сильно люблю её, но, по крайней мере, я вложил в неё много времени. Но сейчас я начинаю серьезно сомневаться в устойчивости этой отрасли — если все проекты будут вести себя так, как в этот раз, то эта отрасль просто не сможет продолжаться.

Yishi убрал все майнинги и теперь планирует только накапливать биткойны, ничего другого не трогает. Вы думаете, что наши 15,5% потерь эквивалентны годовой доходности от майнинга, которая просто обнулилась. Мы изначально использовали относительно низкорискованную стратегию, это не игра с высоким плечом или заработок десятков раз в день. За год упорного труда заработали 15%, а теперь за день все потеряли, кто это выдержит?