Ексклюзивне інтерв'ю з жертвами Resupply: хто має нести відповідальність за ці 9,6 мільйона доларів?

Минуло тиждень з моменту викрадення Resupply, 26 червня, у DeFi протоколі Resupply сталася уразливість безпеки на ринку стейблкоїна «wstUSR», що призвело до втрати приблизно 9,6 мільйона доларів США у шифруванні активів. «Коли постійно ходиш біля річки, як можна не намочити взуття», DeFi OG гравець 3D протягом трьох днів публікував відео про захист прав на своєму каналі Youtube. BlockBeats зв'язався з 3D, і ми поговорили з ним як з людиною, що зазнала збитків, про серію аналізів після цього випадку викрадення.

3D є одним з перших користувачів, які брали участь у видобутку цього протоколу, його ідентичність є як гравцем у видобутку, так і творцем контенту. У цьому інтерв'ю ми почули його сумніви, емоції, а також деякі неписані правила в цій галузі, про які не хочуть говорити. Він згадував про «передбачену підтримку» Curve, про пасивну реакцію проекту на хакерів, а також про те, як спільноту ігнорували та принижували під час захисту своїх прав.

У порівнянні з фінансовими втратами, у розповіді 3D його найбільше засмутила втрата довіри до галузі. Він зізнався, що хоча не поніс найзначніших збитків, він був найбільш розгніваним - не через гроші, а через те, що його ідентичність користувача була проігнорована та принижена. Його досвід відображає спільні труднощі безлічі учасників DeFi - незрозумілість прав і обов'язків, відсутність можливостей для захисту прав, моральні межі постійно зсуваються.

Нижче наведено весь зміст розмови:

**BlockBeats：**Будь ласка, 3D, спочатку зробіть коротке самопрезентацію.

**3D：**Моє ім'я в мережі – 3D, наразі основна моя робота – це видобуток монет, я увійшов у цю сферу ще з ICO 2017 року, але справді почав зосереджуватися на Децентралізованих фінансах і арбітражі з початку Дефі літа 2020 року, одночасно веду Youtube-канал, присвячений арбітражу в Децентралізованих фінансах – 3D шифрувальний канал.

**BlockBeats：**Наразі скільки коштів постраждало? Як можна оцінити або виміряти реальний обсяг збитків?

**3D：**На даний момент загальний обсяг коштів, який можна побачити, в основному дорівнює обсягу страхового пулу — приблизно 38 мільйонів доларів.

**BlockBeats：**То якою була частка китайських користувачів цього разу?

**3D：**Цього я не дуже впевнений. Проте, найбільше та найраніше виступили на захист прав, дійсно, я і Yishi, ми фактично стали на передовій. Користувачі китайською мовою висловлювалися досить активно, звичайно, англомовні користувачі також були, але загальний обсяг голосу був значно меншим.

Поповнення після крадіжки

BlockBeats: Яке тепер рішення?

**3D：**Простими словами, наш капітал втратив 15.5% . Спільнота насправді сподівається, що вони вживають заходів, адже загальні втрати складають приблизно десять мільйонів доларів. Один з їхніх розробників втратив близько 1.5 мільйона, вони також взяли близько 800 тисяч з трезора, маючи на увазі, що це всього лише трохи більше 20%.

Їхнє ставлення схоже на те, що вони кажуть: «Ось, ми теж втратили гроші, не варто більше розбиратися». Але проблема в тому, чому ви не використовуєте ці гроші, щоб поговорити з хакером? Наприклад: «Поверніть гроші, а цю частину ми дамо вам як винагороду для білих капелюхів», так це ж не буде вигідно для всіх? Але вони цього зовсім не зробили.

**BlockBeats：**Чому обрали цей протокол для видобутку?

**3D：**Я взяв участь у проекті Resupply приблизно на початку квітня. Тоді я побачив у Twitter допис людини, яку я давно стежив, з відповідним контентом, а потім побачив, що офіційний Curve також це перепостив, що привернуло мою увагу.

Зараз, якщо говорити про це з точки зору логіки роботи проєкту, це виглядає досить дивно, оскільки здається, що він не намагається заробити самостійно, а більше схожий на те, що допомагає Curve "підняти" використання crvUSD. Оскільки crvUSD сам по собі не має жодного реального використання, він через механізм дизайну примусово створив випадок використання, а потім за допомогою стимулів намагається залучити всіх до участі.

З точки зору нас, учасників, це виглядає так, ніби старший брат хоче отримати дані з платформи і просить свого «молодшого брата» підтримати ситуацію, і Curve дійсно надало йому певну підтримку, тому ми тоді не вважали, що є якісь проблеми.

Якщо ми говоримо про видобуток або арбітраж, то при зустрічі з новими проектами ми завжди оцінюємо два ключові моменти: перше — це сам продукт, як він працює? Звідки приходять ваші заробітки? Друге — це фон проекту, тобто так звану «внутрішню» та «зовнішню» інформацію потрібно ретельно дослідити. На момент моєї оцінки логіка продукту Resupply була відносно простою та зрозумілою.

BlockBeats: То хто, на вашу думку, має нести відповідальність після інциденту? Які ключові рішення прийняла команда Resupply після того, як все сталося? Якщо порівняти з розвиненими платформами Децентралізованих фінансів, які очевидні відмінності в їхніх процесах реагування?

**3D：**Я вважаю, що їхньою найбільшою проблемою в післякризовому управлінні є повна відсутність усвідомлення кризи. У перший момент навіть найосновніші речі не були зроблені. Це все можна знайти в інтернеті, і пан Юйсин також про це згадував: вони не оголосили публічно хакерам, не випустили оголошення про ситуацію, і навіть не запустили жодних юридичних або відповідальних механізмів — навіть спроби зв'язатися з хакерами не було, повністю ігнорували ситуацію.

Інші проекти принаймні публікують оголошення, призупиняють контракти, зв'язуються з білими капелюхами, намагаються повернути кошти, але ці основні дії не були виконані. Вони поводяться так, наче нічого не сталося.

Ми також не розуміємо, чому команда проекту не активно спілкується з громадою. Уся подія призвела до втрат приблизно в десять мільйонів, тоді як їхня команда з одного розробника внесла лише близько 1,5 мільйона, а також проектний фонд виділив близько 800 тисяч, в цілому це покриває лише близько 20% втрат. Як не глянь, це виглядає як символічний "жест", крапля в морі.

Їхнє ставлення в основному таке: «Подивіться, ми також втратили гроші, не турбуйте нас більше». Але проблема в тому, що вони явно могли б взяти ці гроші і вести переговори з хакером, пояснивши, що якщо він поверне гроші, то це буде вважатися винагородою для білих капелюхів, і всі будуть щасливі. Але вони зовсім не вжили таких заходів.

3D залишив повідомлення на офіційному форумі Resupply, пропонуючи спробувати поговорити з хакерами через білі капелюхи, але так і не отримав відповіді.

Перший момент полягає в тому, що вони виявляють надзвичайну пасивність у процесі повернення активів у хакерів, навіть повну бездіяльність. З моменту події в минулий четвер минуло кілька днів, а суттєвих зрушень досі немає.

Другим моментом є те, що їхнє ставлення до спільноти надзвичайно зарозуміле і байдужа. Як тільки ситуація виникла, багато наших користувачів одразу пішли в Discord запитувати, а вони просто визначили, що «люди з страхової групи повинні взяти на себе збитки», навіть не залишивши базового простору для обговорення. Ми поставили під сумнів їхні дії, сказавши, що в документації не вказано, що користувачі повинні нести такі збитки, натомість нас висміювали, атакували, навіть прямо блокували.

Вони також сказали: «Ви заробили 17% річних, тому повинні нести відповідні ризики». Ця логіка абсолютно безпідставна, ми просто взяли участь у стратегії з річною ставкою 17%, що не означає, що ми повинні нести всю відповідальність за крадіжку протоколу.

Відгуки в нашій групі дуже одностайні: не стільки втрати грошей засмучують, скільки досвід приниження і блокування в Discord викликає більше обурення. Причини такої сильної реакції на цю подію в основному дві: бездіяльність команди проекту та їхнє зневажливе ставлення до користувачів.

Якщо вони дійсно не можуть компенсувати, то можуть чітко висловити свою позицію, наприклад, спочатку виділити 3 мільйони, а решту 7 мільйонів дати всім користувачам на пропорційній основі, це вже краще, ніж зараз. Але їхній підхід полягає в тому, щоб безпосередньо "вибрати" користувачів з страхового пулу та покласти на них всю відповідальність. Їхня мета очевидна - зберегти функціонування протоколу, не дати проекту загинути.

Найсмішніше, що, дивлячись на оголошення, яке вони тоді опублікували, майже не згадувалася сума збитків, лише легковажно сказано, що виникла вразливість, призупинено один ринок, інші працюють у звичному режимі, такий спосіб розкриття інформації є вкрай безвідповідальним.

Більш серйозним є те, що хакери через вразливість безкоштовно випустили десять мільйонів стейблкоїнів на ринок, що прямо зруйнувало механізм надмірного забезпечення, внаслідок чого за стейблкоїнами більше не було достатніх активів. В таких умовах, команда проекту все ще не призупинила протокол, дозволивши користувачам самостійно виводити свої кошти.

Результат полягає в тому, що ті, хто біг швидко, вийшли, а люди в страховому фонді через 7-денну затримку зняття були повністю заблоковані. Ще смішніше те, що вони знову ініціювали нову пропозицію, щоб призупинити зняття з страхової каси, ще більше заморожуючи активи користувачів. Що стосується їхнього твердження, що «погані борги повинні покриватися страховим фондом», то в протоколах DeFi цього просто немає прецеденту. Вони знову перевищили межі галузі, не маючи жодної раціональності в управлінні.

BlockBeats： Чи були раніше проекти, які використовували цей страхувальний пул для покриття збитків?

**3D：**Страховий фонд повністю не несе червоних рахунків.

Участь у проекті Resupply має три способи: стейкінг, циклічний кредит та формування LP. Насправді, з точки зору користувачів, стейкінг - це найбільш стабільна група людей, але зараз вони повинні нести всі ризики. Основна проблема полягає в очікуваннях користувачів щодо страхового фонду; ми всі вважаємо, що потрібно нести відповідальність лише за погані борги, викликані коливаннями ринку.

Я тоді навів приклад з страхового пулу, можливо, він не зовсім точний, але приблизно таке значення: це як якщо ви купили фінансовий продукт на Binance, а потім Binance був зламаний, і він говорить вам: «Ви ж прийшли, щоб зберігати гроші? Тож усі разом несемо втрати, особливо ви, користувачі, які купили фінансові продукти». Врешті-решт, втрати будуть вирахувані лише з коштів користувачів фінансових продуктів, інші не постраждають.

Насправді раніше деякі біржі зазнали крадіжки, і всі користувачі несли збитки пропорційно, але цього разу це не так. Вони дозволили лише користувачам фінансових продуктів нести всі втрати. Їхня логіка така: «якщо ти хочеш отримати 2% річних, то мусиш взяти на себе відповідальність». Навіть є люди, які кажуть, що «безкоштовних обідів не буває», маючи на увазі, що якщо ти отримав 17% річних, то мусиш нести втрати від цієї крадіжки, така точка зору занадто абсурдна.

Яку роль відіграла Curve у цьому скандалі?

BlockBeats: Ви згадали, що брали участь у Resupply через довіру до Curve, які, на вашу думку, існують відносини між Resupply та Curve? Чи вважаєте ви, що позиція Curve щодо "урізання" після події є обґрунтованою?

**3D：**Я вважаю, що це можна розглядати з двох сторін. Перше - це поверхнева логіка — цей проект дійсно служить Curve і підтримує Curve, він також є проектом в екосистемі Curve.

Але з іншого боку, нормальна людина з певним судженням зробить розумний висновок: дивіться на дизайн цього протоколу, він в основному створений для того, щоб надавати послуги Curve, простіше кажучи, це роль «молодшого брата». Інакше його існування майже не має сенсу, його основна логіка полягає в тому, щоб використовувати власну монету для субсидування доходів протоколу Curve.

Ти кажеш, що такі справи, як безкорислива допомога, можуть робити лише з великої любові, інакше хто цим займеться? Особливо з його токеном, тоді я навіть думав, що цей проєкт не протримається й місяця, адже вся історія не має особливої привабливості, врешті-решт, це просто для того, щоб дати трохи нових обсягів для стейблкоїна Curve, нічого суттєвого.

Але потім ти бачиш, що ціна все ж стабілізувалася, стабілізувалася на довгий час. Я тоді думав, хто ж підтримує? Думав-думав, найраціональніше пояснення — це те, що Curve сам підтримує. Хто отримує вигоду, хто має найбільшу мотивацію підтримувати ситуацію — це загальновідома логіка, хоча немає переконливих доказів, але якщо мозок працює нормально, то, напевно, всі можуть це зрозуміти.

Динаміка цін на Resupply нативний токен

Перед тим, як статися неприємності, Curve голосно заявляв, що це хороший проєкт, а тепер, коли сталося лихо, відразу ж відхрещується, кажучи «це лише екосистемний проєкт, до мене це не має жодного стосунку». Це ставлення нагадує нам новини, які ми зазвичай бачимо: як тільки щось йде не так, це «робота тимчасового працівника». Тепер навіть ми, користувачі, отримали блокування акаунтів, то що ж взагалі відбувається?

Якби не підтримка Curve, Resupply взагалі не зміг би залучити стільки грошей. Ми беремо участь не через його команду розробників — насправді репутація цієї команди не дуже хороша. Якби вони просто реалізували свій проект самостійно, ми б точно не брали участі.

Основні причини, чому ми вирішили взяти участь, – це дві: по-перше, його бізнес-модель побудована навколо стейблкоїнів Curve, що логічно означає допомогу Curve у зростанні, ця зв'язка створює відчуття відносної безпеки; по-друге, офіційно Curve також визнала цей проєкт, навіть зробила кроки, щоб підтримати його.

Щодо того, що ти кажеш, що у проекту є чорна історія, це дійсно так, але цього разу вони не змінили особу, а продовжують використовувати свою первісну ідентичність для реалізації проекту, в певному сенсі це також можна вважати формою «реальної» відповідальності.

BlockBeats: Чи повинні Curve нести спільну відповідальність за офіційні рекламні матеріали та підтримку Resupply в цьому випадку? Як ви ставитесь до конфлікту інтересів між «запереченням після» та «промоцією до» з боку екосистеми?

**3D：**Я вважаю, що «розподіл» Curve після події є абсолютно нераціональним. Ви хочете, щоб я навіть був маленьким KOL, якщо я колись рекомендував якийсь майнінг-пул, навіть якщо я не отримував жодної копійки, не мав жодних інтересів, і якщо цей майнінг-пул зазнає проблем, я також негайно висловлюсь, щоб повідомити своїм підписникам, що сталося, я буду стежити за ситуацією.

Коли проект Curve спочатку нормально працював, вони активно його підтримували, але коли виникли проблеми, зайняли позицію «мене це не стосується», сказавши кілька слів «шкода», а потім повністю відсторонилися. Таку поведінку справді важко прийняти.

Як уникнути пасток при майнінгу?

BlockBeats: Яка найбільша проблема, з якою стикаються користувачі DeFi у захисті своїх прав?

**3D：**Суть проблеми полягає в невизначеності відповідальності і прав, до того ж вся індустрія сама по собі страждає від нестачі регулювання. У таких умовах захист прав споживачів насправді є дуже складним.

Якщо це користувач з США, ситуація може бути трохи кращою. Оскільки США мають довгу юрисдикцію, вони можуть через правові засоби здійснювати міжнародні позови, навіть є ймовірність повернення частини коштів, а також можна повідомити уряду про збитки. Але для нас практично немає таких каналів.

BlockBeats: Які способи захисту прав мають ці постраждалі великі інвестори на сьогодні?

**3D：**Ні, інакше хто захоче бути клоуном в Інтернеті?

В кінцевому рахунку, у нас немає жодного ефективного каналу захисту прав. Якщо проектна команда налаштована безвідповідально, користувачам залишається тільки самостійно висловлюватися та організовувати дії. Ця подія для мене, хоча й економічні втрати незначні, викликала дуже сильну реакцію, бо я вважаю це образою. Якщо всі проектні команди будуть мати таку позицію, то цю галузь просто неможливо буде розвивати.

Кажучи по правді, це дійсно досить засмучує. Сьогодні я попався на гачок, завтра це може статися з тобою; поки ти залишаєшся в цьому колі, ти завжди будеш стикатися з подібними речами. Як кажуть старі мудрості: «Справжній героїзм – це вибір любити, навіть усвідомлюючи правду». Ми можемо лише так дивитися на цю галузь. Вирішення проблем, з одного боку, залежить від етичних принципів проекту, з іншого боку, також вимагає базової самодисципліни в галузі.

BlockBeats: Яку інформацію ви будете особливо перевіряти, коли проєкт тільки запускається або ще на етапі реклами?

**3D：**Коли проект тільки запускається або все ще на етапі реклами, я зазвичай зосереджую увагу на кількох аспектах.

Перше - це бізнес-модель. На чому цей проект заробляє? Звідки походять прибутки? Це найосновніше, але також найважливіше питання.

Друге - це інформація на місці, тобто механізм роботи самого протоколу, наприклад, чи гладкий приплив і відтік коштів, і чи є «застряглі точки» - наприклад, чи є блокування часу для вхідних і вихідних коштів, або чи є висока комісія за обробку, які безпосередньо пов'язані з користувацьким досвідом і ризиками.

Третє - інформація ззовні. Я хочу знати, чи ця команда раніше реалізувала проекти, чи є вона анонімною, чи є підтримка інвестиційних установ, хто стоїть за цим, чи можу я дізнатися деякі фонові новини.

Крім того, я також буду активно спілкуватися в Discord з командою проекту, щоб дізнатися їхні реакції та дізнатися, чи надійна команда. Деякі люди дивляться на результати аудиту, але я хочу наголосити на одному: зараз багато проблемних проектів фактично проходили аудит. Аудит може лише показати, чи готова команда проекту витратити гроші на проходження процесу, але це не означає, що проект дійсно безпечний.

BlockBeats: Чи маєте ви ще довіру до екосистеми Curve, механізму страхування та системи стейблкоїнів?

**3D：**Ситуація Curve насправді досить незручна. Спочатку її екологічна ніша була призначена для вирішення проблеми глибини торгівлі стейблкоїнів в Uniswap V2. Оскільки механізм постійного добутку V2 погано працює між стейблкоїнами, потрібно вкласти багато коштів, щоб підвищити глибину. Curve тоді запропонувала більш плавний дизайн кривих, зосередившись на обміні стейблкоїнів. Можна сказати, що вона спочатку утвердилася в Децентралізованих фінансах завдяки цій диференціації, як інфраструктурний продукт, логіка була дуже зрозумілою. Але тепер, з бізнес-тиском від Floyd, я вважаю, що вона перебуває на спадній лінії, хоча я все ще впевнений у системі стейблкоїнів.

Я останнім часом насправді особливо тривожний. Хоча цього разу мої особисті втрати не великі, але найбільший удар для мене не в грошах, а в упевненості. Я вже давно в цій галузі, не можу сказати, що люблю її, але принаймні я довгостроково інвестував. Але тепер я починаю серйозно сумніватися в стійкості цієї галузі — якщо всі проекти будуть такими, як цього разу, тоді ця галузь просто не зможе продовжувати існування.

Yishi прибрав всі майнінги, тепер планує лише накопичувати біткоїн, інше не чіпати. Ви дивитесь на наші 15,5% втрати, які еквівалентні річному прибутку від майнінгу, що безпосередньо зник. Ми спочатку діяли за відносно низькоризиковою стратегією, це не якась висока важільна гра з добутком в десятки разів на день. Рік важкої праці за 15 відсотків, а тепер все за один день зникло, хто це витримає?