Suy ngẫm sau sự kiện bị đánh cắp: Tiếng nói của các nạn nhân trong giao thức DeFi Resupply
Đã hơn một tuần kể từ khi Resupply bị tấn công bởi hacker. Vào ngày 26 tháng 6, giao thức Tài chính phi tập trung này đã xuất hiện lỗ hổng bảo mật trong thị trường stablecoin "wstUSR", gây thiệt hại gần 9,6 triệu đô la tài sản tiền điện tử. Là một trong những người dùng tham gia khai thác giao thức này từ sớm, 3D đã liên tục phát hành video bảo vệ quyền lợi trong ba ngày trên kênh Youtube của mình.
3D vừa là người chơi khai thác, vừa là người sáng tạo nội dung. Trong cuộc phỏng vấn này, chúng tôi đã nghe thấy những sự nghi ngờ và cảm xúc của anh ấy về sự kiện này, cũng như một số quy tắc ngầm mà ngành không muốn công khai. Anh ấy đã thảo luận về "sự bảo đảm mặc định" của Curve, cách mà các dự án đối phó thụ động với các cuộc tấn công của hacker, cũng như những trở ngại và sự sỉ nhục mà cộng đồng phải đối mặt trong quá trình bảo vệ quyền lợi.
So với việc mất tiền, điều khiến 3D cảm thấy đau lòng hơn là sự lung lay niềm tin vào ngành. Anh thừa nhận mình không phải là nạn nhân chịu thiệt hại nặng nề nhất, nhưng có thể là người tức giận nhất - không phải vì tiền, mà vì danh tính người dùng bị xem thường và sỉ nhục. Kinh nghiệm của anh phản ánh những khó khăn chung của nhiều người tham gia DeFi: quyền và trách nhiệm không rõ ràng, không có lối thoát cho việc bảo vệ quyền lợi, và ranh giới đạo đức ngày càng xuống thấp.
Dưới đây là toàn bộ nội dung của cuộc trò chuyện:
Xin hãy tự giới thiệu đơn giản về 3D.
Tên tôi sử dụng trên mạng là 3D, hiện tại tôi chủ yếu tham gia vào công việc đào coin tự chủ. Tôi đã bước vào thế giới tiền điện tử từ cơn sốt ICO năm 2017, nhưng thực sự bắt đầu tập trung vào Tài chính phi tập trung và arbitrage từ đợt Tài chính phi tập trung mùa hè 2020. Đồng thời, tôi cũng điều hành một kênh Youtube chuyên về arbitrage Tài chính phi tập trung - kênh 3D Crypto.
Hiện tại có khoảng bao nhiêu vốn bị tổn thất? Quy mô tổn thất thực tế nên được ước tính hoặc đo lường như thế nào?
Quy mô vốn tổng thể hiện tại có thể thấy cơ bản chính là quy mô của quỹ bảo hiểm, khoảng 38 triệu đô la.
Vậy lần này người dùng nói tiếng Trung chiếm khoảng bao nhiêu phần trăm?
Điều này tôi không rõ lắm. Nhưng những người đứng lên bảo vệ quyền lợi sớm nhất và mạnh mẽ nhất lần này thực sự là tôi và Yishi, chúng tôi có thể coi là những người đi tiên phong. Người dùng tiếng Trung phát biểu khá tập trung, tất nhiên cũng có một số người dùng tiếng Anh, nhưng tổng thể tiếng nói thì nhỏ hơn nhiều.
Giải pháp hiện tại là gì?
Nói một cách đơn giản, vốn của chúng tôi đã trực tiếp thua lỗ 15,5%. Cộng đồng rất mong mỏi bên dự án có hành động, dù sao thì tổng thiệt hại lần này gần mười triệu đô la. Một nhà phát triển trong đội ngũ của họ đã lấy ra khoảng 1,5 triệu, lại từ kho lấy ra khoảng 800 nghìn, tổng cộng chỉ hơn 20%.
Thái độ của họ giống như đang nói, "Bạn thấy đấy, chúng tôi cũng đã mất mát, đừng truy cứu nữa". Nhưng vấn đề là, tại sao không dùng số tiền này để giao tiếp với hacker? Chẳng hạn, "Nếu bạn trả lại tiền, chúng tôi sẽ coi phần này là phần thưởng cho bạn", như vậy không phải là đều vui vẻ hay sao? Nhưng họ hoàn toàn không làm như vậy.
Tại sao lại chọn giao thức này để khai thác?
Tôi bắt đầu tham gia dự án Resupply vào khoảng đầu tháng 4. Lúc đó, tôi thấy một người mà tôi theo dõi lâu dài đăng nội dung liên quan khi lướt Twitter, sau đó thấy một sàn giao dịch cũng đã chia sẻ lại, điều đó đã thu hút sự chú ý của tôi.
Bây giờ nhìn lại, logic vận hành của dự án thật kỳ lạ, nó có vẻ không phải là muốn kiếm tiền cho riêng mình, mà giống như đang giúp một nền tảng giao dịch nào đó "đẩy cao" lượng sử dụng của một đồng stablecoin nào đó. Bởi vì đồng stablecoin đó bản thân không có nhiều công dụng thực tế, nó đã thiết kế cơ chế để tạo ra một kịch bản sử dụng một cách cưỡng bức, sau đó sử dụng các khuyến khích để dẫn dắt mọi người tham gia.
Từ góc độ của chúng tôi, những người tham gia, sự việc này giống như một nền tảng lớn muốn tăng cường một chút dữ liệu, thì gọi "tiểu đệ" của mình đến giúp, và một nền tảng giao dịch cũng thực sự đã đưa ra một số sự bảo chứng, vì vậy chúng tôi lúc đó cũng không cảm thấy có vấn đề gì.
Như những người như chúng tôi làm khai thác hoặc chênh lệch giá, khi gặp dự án mới sẽ luôn đánh giá hai điểm chính: Thứ nhất là sản phẩm bản thân, nó hoạt động như thế nào? Tiền bạn kiếm được từ đâu? Thứ hai là bối cảnh của nhóm dự án, tức là thông tin "trong thị trường" và "ngoài thị trường" đều cần phải nghiên cứu kỹ. Theo đánh giá của tôi, logic của sản phẩm Resupply này tương đối đơn giản và trực quan.
Vậy bạn nghĩ ai nên chịu trách nhiệm sau khi xảy ra sự cố? Đội Resupply đã đưa ra những quyết định quan trọng nào sau khi sự việc xảy ra? Nếu so sánh với các nền tảng giao thức DeFi trưởng thành, quy trình ứng phó của họ có những khoảng cách rõ rệt nào?
Tôi cho rằng vấn đề lớn nhất của họ trong việc xử lý sau sự việc chính là hoàn toàn thiếu ý thức ứng phó với khủng hoảng. Trong thời gian đầu, họ thậm chí không thực hiện những điều cơ bản nhất. Điều này mọi người đều có thể tra cứu trên mạng, một nhân vật lớn cũng đã đề cập: họ không công khai kêu gọi hacker, cũng không phát thông báo giải thích tình hình, lại càng không khởi động bất kỳ cơ chế pháp lý hay trách nhiệm nào - thậm chí không có động thái cố gắng giao tiếp với hacker, hoàn toàn để mọi chuyện xảy ra tự nhiên.
Các dự án khác ít nhất cũng sẽ phát thông báo, tạm dừng hợp đồng, liên hệ với hacker mũ trắng, cố gắng thu hồi tiền, nhưng họ không làm bất kỳ thao tác cơ bản nào. Họ giống như không có gì xảy ra cả.
Chúng tôi cũng không hiểu tại sao đội ngũ dự án không tích cực giao tiếp với cộng đồng. Toàn bộ sự kiện đã dẫn đến thiệt hại gần mười triệu, trong khi một lập trình viên của đội ngũ họ chỉ bỏ ra khoảng 1,5 triệu, cộng với khoảng 800 nghìn từ quỹ dự án, tổng cộng cũng chỉ bù đắp được khoảng 20% thiệt hại. Nhìn thế nào cũng chỉ là một cách "tượng trưng", như muối bỏ bể.
Thái độ của họ cơ bản là "Bạn thấy đấy, chúng tôi cũng đã mất tiền, đừng làm phiền chúng tôi nữa." Nhưng vấn đề là họ rõ ràng có thể cầm số tiền này để đàm phán với hacker, nói rõ rằng chỉ cần bạn trả lại tiền, thì sẽ coi như phần thưởng cho mũ trắng, mọi người đều vui vẻ. Nhưng họ hoàn toàn không thực hiện biện pháp này.
Điểm đầu tiên là họ tỏ ra cực kỳ thụ động trong việc truy đòi tài sản của hacker, thậm chí là hoàn toàn không hành động. Từ khi sự kiện xảy ra vào thứ Năm tuần trước đến giờ, đã qua vài ngày, vẫn chưa có tiến triển thực chất nào.
Điều thứ hai là thái độ của họ đối với cộng đồng cực kỳ kiêu ngạo và lãnh đạm. Khi sự việc xảy ra, nhiều người dùng của chúng tôi đã lập tức đến cộng đồng của họ để hỏi, nhưng họ lại trực tiếp định nghĩa rằng "người trong quỹ bảo hiểm sẽ phải chịu thiệt hại", không có ngay cả không gian thảo luận cơ bản. Chúng tôi đã nghi ngờ cách làm của họ, nói rằng tài liệu không đề cập đến việc người dùng cần phải chịu thiệt hại như vậy, nhưng kết quả lại bị châm biếm, tấn công, thậm chí bị khóa tài khoản ngay lập tức.
Họ còn nói "Các bạn đã kiếm được 17% lợi suất hàng năm, thì phải chịu rủi ro tương ứng." Lập luận này hoàn toàn không có cơ sở, chúng tôi chỉ tham gia vào một chiến lược 17% hàng năm, không có nghĩa là chúng tôi phải chịu hoàn toàn trách nhiệm nếu giao thức bị đánh cắp.
Phản hồi trong nhóm của chúng tôi đều rất nhất quán, không phải việc thua lỗ là điều khiến người ta khó chịu nhất, mà là trải nghiệm bị sỉ nhục và bị chặn trong cộng đồng mới thật sự đáng giận. Nguyên nhân cốt lõi khiến sự kiện này gây ra phản ứng mạnh mẽ như vậy có hai: sự thờ ơ của phía dự án và sự coi thường của họ đối với người dùng.
Nếu họ thật sự không có khả năng bồi thường, có thể xác định rõ thái độ, chẳng hạn như trước tiên đưa ra 3 triệu, phần còn lại 7 triệu để tất cả người dùng chia sẻ theo tỷ lệ, điều này cũng tốt hơn hiện tại. Nhưng cách xử lý của họ là, trực tiếp "lôi ra" người dùng trong quỹ bảo hiểm để chịu toàn bộ trách nhiệm. Mục đích của họ cũng rất rõ ràng, đó là muốn giữ cho giao thức tiếp tục hoạt động, không để dự án bị chết.
Thật mỉa mai, khi xem thông báo mà họ đã phát đi lúc đó, hầu như không đề cập đến số tiền tổn thất, chỉ nhẹ nhàng nói rằng đã gặp phải lỗ hổng, đã tạm ngừng một thị trường, còn lại thì vẫn bình thường, cách thức công bố thông tin này vô cùng thiếu trách nhiệm.
Nghiêm trọng hơn, hacker đã khai thác lỗ hổng để đúc ra mười triệu stablecoin với chi phí bằng không để bán ra thị trường, trực tiếp phá vỡ cơ chế thế chấp thừa ban đầu, khiến cho stablecoin không còn đủ tài sản để hỗ trợ. Trong tình huống này, đội ngũ dự án vẫn không tạm dừng giao thức, để người dùng tự mình thực hiện rút vốn.
Kết quả là những người dùng phản ứng nhanh đã rút lui, trong khi những người trong quỹ bảo hiểm bị khóa hoàn toàn do việc rút tiền bị trì hoãn 7 ngày. Điều còn vô lý hơn là họ lại đề xuất một đề xuất mới, yêu cầu tạm dừng việc rút tiền từ quỹ bảo hiểm, làm đông lạnh thêm tài sản của người dùng. Còn về việc họ nói "khoản nợ xấu nên do quỹ bảo hiểm chịu", điều này hoàn toàn không có tiền lệ trong giao thức Tài chính phi tập trung. Họ lại một lần nữa vượt qua giới hạn của ngành, hoàn toàn không có bất kỳ tính hợp lý nào trong quản trị.
Trước đây có dự án nào sử dụng bể bảo hiểm này để chịu tổn thất không?
Bể bảo hiểm hoàn toàn không chịu trách nhiệm về các khoản nợ xấu.
Tham gia dự án Resupply chỉ có ba cách chơi, đặt cọc, vay tuần hoàn, tạo LP. Thực tế từ góc độ kỳ vọng của người dùng, đặt cọc là nhóm người tìm kiếm sự ổn định, tuy nhiên bây giờ họ lại phải gánh chịu toàn bộ rủi ro. Vấn đề cốt lõi nằm ở kỳ vọng của người dùng đối với quỹ bảo hiểm, chúng ta đều cho rằng chỉ cần gánh chịu các khoản nợ xấu do biến động thị trường.
Tôi đã đưa ra một ví dụ về chuyện này, có thể không chính xác lắm, nhưng đại khái là ý này, giống như bạn đã mua một sản phẩm đầu tư trên một nền tảng giao dịch nào đó, và cuối cùng nền tảng đó bị hack, nó nói với bạn, "Bạn không phải là người đến để gửi tiền sao? Vậy thì mọi người cùng chịu thiệt hại, đặc biệt là những người dùng đã mua sản phẩm đầu tư như các bạn." Cuối cùng, số tiền lỗ chỉ được trừ từ quỹ của người dùng đầu tư, những người khác không bị ảnh hưởng.
Trên thực tế, trước đây có một số sàn giao dịch bị hack, toàn bộ người dùng đều phải gánh chịu tổn thất theo tỷ lệ, nhưng lần này thì không. Họ chỉ để người dùng đầu tư chịu toàn bộ tổn thất. Logic của họ là: "Bạn muốn hưởng 2% lãi suất hàng năm, thì bạn phải chịu trách nhiệm cho điều đó." Thậm chí còn có người nói rằng "trên đời này không có bữa trưa miễn phí", ý nói là bạn đã nhận được 17% lợi nhuận hàng năm, thì bạn xứng đáng chịu tổn thất do lần hack này, cách nói này thật vô lý.
Bạn đã đề cập rằng đã tham gia Resupply vì tin tưởng vào một nền tảng giao dịch nào đó, vậy bạn nghĩ rằng mối quan hệ giữa Resupply và nền tảng giao dịch đó là như thế nào? Bạn có nghĩ rằng thái độ "cắt đứt" của nền tảng giao dịch sau sự kiện là hợp lý không?
Tôi nghĩ điều này có thể được nhìn từ hai khía cạnh. Khía cạnh đầu tiên là logic bề mặt - dự án này thực sự phục vụ cho một nền tảng giao dịch nào đó, cũng như được nền tảng giao dịch đó bảo chứng, nó cũng là một dự án trong hệ sinh thái của nền tảng giao dịch đó.
Nhưng mặt khác, những người có chút phán đoán bình thường sẽ đưa ra một suy luận hợp lý: bạn nhìn thiết kế của giao thức này, cơ bản là để cung cấp dịch vụ cho một nền tảng giao dịch nào đó, nói trắng ra là vai trò "đệ tử". Nếu không, sự tồn tại của nó gần như vô nghĩa, logic cốt lõi của nó là sử dụng đồng coin của chính mình để trợ cấp cho thu nhập từ giao thức của một nền tảng giao dịch nào đó.
Bạn nói về những việc không cầu báo đáp, chỉ thuần túy cung cấp hỗ trợ như vậy, trừ khi là tình yêu chân thật, nếu không ai sẽ làm? Đặc biệt là token của nó, lúc đó tôi đã cảm thấy dự án này không thể trụ nổi một tháng, vì câu chuyện tổng thể không có sức hút gì, nói thẳng ra chỉ để mang lại một chút lượng mới cho stablecoin của một nền tảng giao dịch nào đó, không có gì nội dung thực chất.
Nhưng sau đó bạn thấy, giá cả lại ổn định, ổn định rất lâu. Lúc đó tôi đang nghĩ, ai đang giữ giá? Nghĩ đi nghĩ lại, lời giải thích hợp lý nhất chính là một sàn giao dịch nào đó đang tự giữ giá. Ai được lợi từ điều này, ai có động lực lớn nhất để giữ vững tình hình - đây là một suy luận thông thường, mặc dù không có bằng chứng xác thực, nhưng chỉ cần đầu óc bình thường, có lẽ ai cũng có thể nghĩ ra điều này.
Trước khi xảy ra sự cố, một nền tảng giao dịch đã công khai tuyên bố rằng đây là một dự án tốt, giờ xảy ra sự cố, ngay lập tức phủi tay nói "chỉ là dự án sinh thái, không liên quan đến tôi". Thái độ này giống như những tin tức mà chúng ta thường thấy: một khi xảy ra sự cố, thì đó là "công nhân tạm thời làm". Giờ đây ngay cả chúng tôi, những người dùng này, cũng bị khóa tài khoản, bạn nói sự việc này đã đi đến mức độ nào?
Nếu không có sự đảm bảo của một nền tảng giao dịch nào đó, Resupply hoàn toàn không thể huy động được nhiều tiền như vậy. Chúng tôi tham gia không phải vì đội ngũ phát triển của nó - thực tế, danh tiếng của đội ngũ này không tốt. Nếu chỉ họ làm một dự án riêng, chắc chắn chúng tôi sẽ không tham gia.
Có hai lý do thực sự khiến chúng tôi chọn tham gia: một là mô hình kinh doanh của nó xoay quanh stablecoin của một sàn giao dịch nào đó, về logic mà nói, cũng giống như giúp sàn giao dịch đó phát triển, mối quan hệ ràng buộc này khiến người ta cảm thấy tương đối an toàn; hai là sàn giao dịch nào đó cũng đã công khai thừa nhận dự án này, thậm chí có động thái bảo chứng cho nó.
Về việc bạn nói rằng nhóm dự án có lịch sử đen,确实是有, nhưng lần này họ không đổi tên mà tiếp tục sử dụng danh tính ban đầu để thực hiện dự án, ở một mức độ nào đó cũng có thể coi là một hình thức "trách nhiệm thật".
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Sự việc bị đánh cắp DeFi Tài chính phi tập trung Resupply: Nạn nhân nghi ngờ Bên dự án ứng phó kém, kêu gọi ngành xem xét lại
Suy ngẫm sau sự kiện bị đánh cắp: Tiếng nói của các nạn nhân trong giao thức DeFi Resupply
Đã hơn một tuần kể từ khi Resupply bị tấn công bởi hacker. Vào ngày 26 tháng 6, giao thức Tài chính phi tập trung này đã xuất hiện lỗ hổng bảo mật trong thị trường stablecoin "wstUSR", gây thiệt hại gần 9,6 triệu đô la tài sản tiền điện tử. Là một trong những người dùng tham gia khai thác giao thức này từ sớm, 3D đã liên tục phát hành video bảo vệ quyền lợi trong ba ngày trên kênh Youtube của mình.
3D vừa là người chơi khai thác, vừa là người sáng tạo nội dung. Trong cuộc phỏng vấn này, chúng tôi đã nghe thấy những sự nghi ngờ và cảm xúc của anh ấy về sự kiện này, cũng như một số quy tắc ngầm mà ngành không muốn công khai. Anh ấy đã thảo luận về "sự bảo đảm mặc định" của Curve, cách mà các dự án đối phó thụ động với các cuộc tấn công của hacker, cũng như những trở ngại và sự sỉ nhục mà cộng đồng phải đối mặt trong quá trình bảo vệ quyền lợi.
So với việc mất tiền, điều khiến 3D cảm thấy đau lòng hơn là sự lung lay niềm tin vào ngành. Anh thừa nhận mình không phải là nạn nhân chịu thiệt hại nặng nề nhất, nhưng có thể là người tức giận nhất - không phải vì tiền, mà vì danh tính người dùng bị xem thường và sỉ nhục. Kinh nghiệm của anh phản ánh những khó khăn chung của nhiều người tham gia DeFi: quyền và trách nhiệm không rõ ràng, không có lối thoát cho việc bảo vệ quyền lợi, và ranh giới đạo đức ngày càng xuống thấp.
Dưới đây là toàn bộ nội dung của cuộc trò chuyện:
Xin hãy tự giới thiệu đơn giản về 3D.
Tên tôi sử dụng trên mạng là 3D, hiện tại tôi chủ yếu tham gia vào công việc đào coin tự chủ. Tôi đã bước vào thế giới tiền điện tử từ cơn sốt ICO năm 2017, nhưng thực sự bắt đầu tập trung vào Tài chính phi tập trung và arbitrage từ đợt Tài chính phi tập trung mùa hè 2020. Đồng thời, tôi cũng điều hành một kênh Youtube chuyên về arbitrage Tài chính phi tập trung - kênh 3D Crypto.
Hiện tại có khoảng bao nhiêu vốn bị tổn thất? Quy mô tổn thất thực tế nên được ước tính hoặc đo lường như thế nào?
Quy mô vốn tổng thể hiện tại có thể thấy cơ bản chính là quy mô của quỹ bảo hiểm, khoảng 38 triệu đô la.
Vậy lần này người dùng nói tiếng Trung chiếm khoảng bao nhiêu phần trăm?
Điều này tôi không rõ lắm. Nhưng những người đứng lên bảo vệ quyền lợi sớm nhất và mạnh mẽ nhất lần này thực sự là tôi và Yishi, chúng tôi có thể coi là những người đi tiên phong. Người dùng tiếng Trung phát biểu khá tập trung, tất nhiên cũng có một số người dùng tiếng Anh, nhưng tổng thể tiếng nói thì nhỏ hơn nhiều.
Giải pháp hiện tại là gì?
Nói một cách đơn giản, vốn của chúng tôi đã trực tiếp thua lỗ 15,5%. Cộng đồng rất mong mỏi bên dự án có hành động, dù sao thì tổng thiệt hại lần này gần mười triệu đô la. Một nhà phát triển trong đội ngũ của họ đã lấy ra khoảng 1,5 triệu, lại từ kho lấy ra khoảng 800 nghìn, tổng cộng chỉ hơn 20%.
Thái độ của họ giống như đang nói, "Bạn thấy đấy, chúng tôi cũng đã mất mát, đừng truy cứu nữa". Nhưng vấn đề là, tại sao không dùng số tiền này để giao tiếp với hacker? Chẳng hạn, "Nếu bạn trả lại tiền, chúng tôi sẽ coi phần này là phần thưởng cho bạn", như vậy không phải là đều vui vẻ hay sao? Nhưng họ hoàn toàn không làm như vậy.
Tại sao lại chọn giao thức này để khai thác?
Tôi bắt đầu tham gia dự án Resupply vào khoảng đầu tháng 4. Lúc đó, tôi thấy một người mà tôi theo dõi lâu dài đăng nội dung liên quan khi lướt Twitter, sau đó thấy một sàn giao dịch cũng đã chia sẻ lại, điều đó đã thu hút sự chú ý của tôi.
Bây giờ nhìn lại, logic vận hành của dự án thật kỳ lạ, nó có vẻ không phải là muốn kiếm tiền cho riêng mình, mà giống như đang giúp một nền tảng giao dịch nào đó "đẩy cao" lượng sử dụng của một đồng stablecoin nào đó. Bởi vì đồng stablecoin đó bản thân không có nhiều công dụng thực tế, nó đã thiết kế cơ chế để tạo ra một kịch bản sử dụng một cách cưỡng bức, sau đó sử dụng các khuyến khích để dẫn dắt mọi người tham gia.
Từ góc độ của chúng tôi, những người tham gia, sự việc này giống như một nền tảng lớn muốn tăng cường một chút dữ liệu, thì gọi "tiểu đệ" của mình đến giúp, và một nền tảng giao dịch cũng thực sự đã đưa ra một số sự bảo chứng, vì vậy chúng tôi lúc đó cũng không cảm thấy có vấn đề gì.
Như những người như chúng tôi làm khai thác hoặc chênh lệch giá, khi gặp dự án mới sẽ luôn đánh giá hai điểm chính: Thứ nhất là sản phẩm bản thân, nó hoạt động như thế nào? Tiền bạn kiếm được từ đâu? Thứ hai là bối cảnh của nhóm dự án, tức là thông tin "trong thị trường" và "ngoài thị trường" đều cần phải nghiên cứu kỹ. Theo đánh giá của tôi, logic của sản phẩm Resupply này tương đối đơn giản và trực quan.
Vậy bạn nghĩ ai nên chịu trách nhiệm sau khi xảy ra sự cố? Đội Resupply đã đưa ra những quyết định quan trọng nào sau khi sự việc xảy ra? Nếu so sánh với các nền tảng giao thức DeFi trưởng thành, quy trình ứng phó của họ có những khoảng cách rõ rệt nào?
Tôi cho rằng vấn đề lớn nhất của họ trong việc xử lý sau sự việc chính là hoàn toàn thiếu ý thức ứng phó với khủng hoảng. Trong thời gian đầu, họ thậm chí không thực hiện những điều cơ bản nhất. Điều này mọi người đều có thể tra cứu trên mạng, một nhân vật lớn cũng đã đề cập: họ không công khai kêu gọi hacker, cũng không phát thông báo giải thích tình hình, lại càng không khởi động bất kỳ cơ chế pháp lý hay trách nhiệm nào - thậm chí không có động thái cố gắng giao tiếp với hacker, hoàn toàn để mọi chuyện xảy ra tự nhiên.
Các dự án khác ít nhất cũng sẽ phát thông báo, tạm dừng hợp đồng, liên hệ với hacker mũ trắng, cố gắng thu hồi tiền, nhưng họ không làm bất kỳ thao tác cơ bản nào. Họ giống như không có gì xảy ra cả.
Chúng tôi cũng không hiểu tại sao đội ngũ dự án không tích cực giao tiếp với cộng đồng. Toàn bộ sự kiện đã dẫn đến thiệt hại gần mười triệu, trong khi một lập trình viên của đội ngũ họ chỉ bỏ ra khoảng 1,5 triệu, cộng với khoảng 800 nghìn từ quỹ dự án, tổng cộng cũng chỉ bù đắp được khoảng 20% thiệt hại. Nhìn thế nào cũng chỉ là một cách "tượng trưng", như muối bỏ bể.
Thái độ của họ cơ bản là "Bạn thấy đấy, chúng tôi cũng đã mất tiền, đừng làm phiền chúng tôi nữa." Nhưng vấn đề là họ rõ ràng có thể cầm số tiền này để đàm phán với hacker, nói rõ rằng chỉ cần bạn trả lại tiền, thì sẽ coi như phần thưởng cho mũ trắng, mọi người đều vui vẻ. Nhưng họ hoàn toàn không thực hiện biện pháp này.
Điểm đầu tiên là họ tỏ ra cực kỳ thụ động trong việc truy đòi tài sản của hacker, thậm chí là hoàn toàn không hành động. Từ khi sự kiện xảy ra vào thứ Năm tuần trước đến giờ, đã qua vài ngày, vẫn chưa có tiến triển thực chất nào.
Điều thứ hai là thái độ của họ đối với cộng đồng cực kỳ kiêu ngạo và lãnh đạm. Khi sự việc xảy ra, nhiều người dùng của chúng tôi đã lập tức đến cộng đồng của họ để hỏi, nhưng họ lại trực tiếp định nghĩa rằng "người trong quỹ bảo hiểm sẽ phải chịu thiệt hại", không có ngay cả không gian thảo luận cơ bản. Chúng tôi đã nghi ngờ cách làm của họ, nói rằng tài liệu không đề cập đến việc người dùng cần phải chịu thiệt hại như vậy, nhưng kết quả lại bị châm biếm, tấn công, thậm chí bị khóa tài khoản ngay lập tức.
Họ còn nói "Các bạn đã kiếm được 17% lợi suất hàng năm, thì phải chịu rủi ro tương ứng." Lập luận này hoàn toàn không có cơ sở, chúng tôi chỉ tham gia vào một chiến lược 17% hàng năm, không có nghĩa là chúng tôi phải chịu hoàn toàn trách nhiệm nếu giao thức bị đánh cắp.
Phản hồi trong nhóm của chúng tôi đều rất nhất quán, không phải việc thua lỗ là điều khiến người ta khó chịu nhất, mà là trải nghiệm bị sỉ nhục và bị chặn trong cộng đồng mới thật sự đáng giận. Nguyên nhân cốt lõi khiến sự kiện này gây ra phản ứng mạnh mẽ như vậy có hai: sự thờ ơ của phía dự án và sự coi thường của họ đối với người dùng.
Nếu họ thật sự không có khả năng bồi thường, có thể xác định rõ thái độ, chẳng hạn như trước tiên đưa ra 3 triệu, phần còn lại 7 triệu để tất cả người dùng chia sẻ theo tỷ lệ, điều này cũng tốt hơn hiện tại. Nhưng cách xử lý của họ là, trực tiếp "lôi ra" người dùng trong quỹ bảo hiểm để chịu toàn bộ trách nhiệm. Mục đích của họ cũng rất rõ ràng, đó là muốn giữ cho giao thức tiếp tục hoạt động, không để dự án bị chết.
Thật mỉa mai, khi xem thông báo mà họ đã phát đi lúc đó, hầu như không đề cập đến số tiền tổn thất, chỉ nhẹ nhàng nói rằng đã gặp phải lỗ hổng, đã tạm ngừng một thị trường, còn lại thì vẫn bình thường, cách thức công bố thông tin này vô cùng thiếu trách nhiệm.
Nghiêm trọng hơn, hacker đã khai thác lỗ hổng để đúc ra mười triệu stablecoin với chi phí bằng không để bán ra thị trường, trực tiếp phá vỡ cơ chế thế chấp thừa ban đầu, khiến cho stablecoin không còn đủ tài sản để hỗ trợ. Trong tình huống này, đội ngũ dự án vẫn không tạm dừng giao thức, để người dùng tự mình thực hiện rút vốn.
Kết quả là những người dùng phản ứng nhanh đã rút lui, trong khi những người trong quỹ bảo hiểm bị khóa hoàn toàn do việc rút tiền bị trì hoãn 7 ngày. Điều còn vô lý hơn là họ lại đề xuất một đề xuất mới, yêu cầu tạm dừng việc rút tiền từ quỹ bảo hiểm, làm đông lạnh thêm tài sản của người dùng. Còn về việc họ nói "khoản nợ xấu nên do quỹ bảo hiểm chịu", điều này hoàn toàn không có tiền lệ trong giao thức Tài chính phi tập trung. Họ lại một lần nữa vượt qua giới hạn của ngành, hoàn toàn không có bất kỳ tính hợp lý nào trong quản trị.
Trước đây có dự án nào sử dụng bể bảo hiểm này để chịu tổn thất không?
Bể bảo hiểm hoàn toàn không chịu trách nhiệm về các khoản nợ xấu.
Tham gia dự án Resupply chỉ có ba cách chơi, đặt cọc, vay tuần hoàn, tạo LP. Thực tế từ góc độ kỳ vọng của người dùng, đặt cọc là nhóm người tìm kiếm sự ổn định, tuy nhiên bây giờ họ lại phải gánh chịu toàn bộ rủi ro. Vấn đề cốt lõi nằm ở kỳ vọng của người dùng đối với quỹ bảo hiểm, chúng ta đều cho rằng chỉ cần gánh chịu các khoản nợ xấu do biến động thị trường.
Tôi đã đưa ra một ví dụ về chuyện này, có thể không chính xác lắm, nhưng đại khái là ý này, giống như bạn đã mua một sản phẩm đầu tư trên một nền tảng giao dịch nào đó, và cuối cùng nền tảng đó bị hack, nó nói với bạn, "Bạn không phải là người đến để gửi tiền sao? Vậy thì mọi người cùng chịu thiệt hại, đặc biệt là những người dùng đã mua sản phẩm đầu tư như các bạn." Cuối cùng, số tiền lỗ chỉ được trừ từ quỹ của người dùng đầu tư, những người khác không bị ảnh hưởng.
Trên thực tế, trước đây có một số sàn giao dịch bị hack, toàn bộ người dùng đều phải gánh chịu tổn thất theo tỷ lệ, nhưng lần này thì không. Họ chỉ để người dùng đầu tư chịu toàn bộ tổn thất. Logic của họ là: "Bạn muốn hưởng 2% lãi suất hàng năm, thì bạn phải chịu trách nhiệm cho điều đó." Thậm chí còn có người nói rằng "trên đời này không có bữa trưa miễn phí", ý nói là bạn đã nhận được 17% lợi nhuận hàng năm, thì bạn xứng đáng chịu tổn thất do lần hack này, cách nói này thật vô lý.
Bạn đã đề cập rằng đã tham gia Resupply vì tin tưởng vào một nền tảng giao dịch nào đó, vậy bạn nghĩ rằng mối quan hệ giữa Resupply và nền tảng giao dịch đó là như thế nào? Bạn có nghĩ rằng thái độ "cắt đứt" của nền tảng giao dịch sau sự kiện là hợp lý không?
Tôi nghĩ điều này có thể được nhìn từ hai khía cạnh. Khía cạnh đầu tiên là logic bề mặt - dự án này thực sự phục vụ cho một nền tảng giao dịch nào đó, cũng như được nền tảng giao dịch đó bảo chứng, nó cũng là một dự án trong hệ sinh thái của nền tảng giao dịch đó.
Nhưng mặt khác, những người có chút phán đoán bình thường sẽ đưa ra một suy luận hợp lý: bạn nhìn thiết kế của giao thức này, cơ bản là để cung cấp dịch vụ cho một nền tảng giao dịch nào đó, nói trắng ra là vai trò "đệ tử". Nếu không, sự tồn tại của nó gần như vô nghĩa, logic cốt lõi của nó là sử dụng đồng coin của chính mình để trợ cấp cho thu nhập từ giao thức của một nền tảng giao dịch nào đó.
Bạn nói về những việc không cầu báo đáp, chỉ thuần túy cung cấp hỗ trợ như vậy, trừ khi là tình yêu chân thật, nếu không ai sẽ làm? Đặc biệt là token của nó, lúc đó tôi đã cảm thấy dự án này không thể trụ nổi một tháng, vì câu chuyện tổng thể không có sức hút gì, nói thẳng ra chỉ để mang lại một chút lượng mới cho stablecoin của một nền tảng giao dịch nào đó, không có gì nội dung thực chất.
Nhưng sau đó bạn thấy, giá cả lại ổn định, ổn định rất lâu. Lúc đó tôi đang nghĩ, ai đang giữ giá? Nghĩ đi nghĩ lại, lời giải thích hợp lý nhất chính là một sàn giao dịch nào đó đang tự giữ giá. Ai được lợi từ điều này, ai có động lực lớn nhất để giữ vững tình hình - đây là một suy luận thông thường, mặc dù không có bằng chứng xác thực, nhưng chỉ cần đầu óc bình thường, có lẽ ai cũng có thể nghĩ ra điều này.
Trước khi xảy ra sự cố, một nền tảng giao dịch đã công khai tuyên bố rằng đây là một dự án tốt, giờ xảy ra sự cố, ngay lập tức phủi tay nói "chỉ là dự án sinh thái, không liên quan đến tôi". Thái độ này giống như những tin tức mà chúng ta thường thấy: một khi xảy ra sự cố, thì đó là "công nhân tạm thời làm". Giờ đây ngay cả chúng tôi, những người dùng này, cũng bị khóa tài khoản, bạn nói sự việc này đã đi đến mức độ nào?
Nếu không có sự đảm bảo của một nền tảng giao dịch nào đó, Resupply hoàn toàn không thể huy động được nhiều tiền như vậy. Chúng tôi tham gia không phải vì đội ngũ phát triển của nó - thực tế, danh tiếng của đội ngũ này không tốt. Nếu chỉ họ làm một dự án riêng, chắc chắn chúng tôi sẽ không tham gia.
Có hai lý do thực sự khiến chúng tôi chọn tham gia: một là mô hình kinh doanh của nó xoay quanh stablecoin của một sàn giao dịch nào đó, về logic mà nói, cũng giống như giúp sàn giao dịch đó phát triển, mối quan hệ ràng buộc này khiến người ta cảm thấy tương đối an toàn; hai là sàn giao dịch nào đó cũng đã công khai thừa nhận dự án này, thậm chí có động thái bảo chứng cho nó.
Về việc bạn nói rằng nhóm dự án có lịch sử đen,确实是有, nhưng lần này họ không đổi tên mà tiếp tục sử dụng danh tính ban đầu để thực hiện dự án, ở một mức độ nào đó cũng có thể coi là một hình thức "trách nhiệm thật".