被盜事件後的反思:DeFi 協議 Resupply 受害者的心聲

距離 Resupply 遭遇黑客攻擊已經一周有餘。6 月 26 日,該 DeFi 協議的穩定幣"wstUSR 市場"出現安全漏洞,造成近 960 萬美元的加密資產損失。作爲早期參與該協議挖礦的用戶之一,3D 在其 Youtube 頻道連續三天發布了維權視頻。

3D 既是挖礦玩家,也是內容創作者。在這次訪談中,我們聽到了他對這起事件的質疑和情緒,以及一些行業內不願明說的潛規則。他討論了 Curve 的"默認背書",項目方對黑客攻擊的被動應對,以及社區在維權過程中遭遇的阻撓和羞辱。

相較於金錢損失,更讓 3D 寒心的是對行業信心的動搖。他坦言自己雖非損失最重的受害者,卻可能是最憤怒的一個——不是因爲金錢,而是因爲用戶身分被漠視和羞辱。他的經歷反映了許多 DeFi 參與者的共同困境:權責不明、維權無門、道德底線不斷下降。

以下是對話的全部內容:

請 3D 先做個簡單的自我介紹。

我在網上用的名字是 3D,目前主要從事自主挖礦工作。我從 2017 年 ICO 熱潮時就進入加密貨幣圈,但真正開始專注 DeFi 和套利是從 2020 年 DeFi Summer 那一波開始的。同時我還運營一個專注 DeFi 套利的 Youtube 頻道—3D 加密頻道。

目前大概有多少資金受損?實際損失的規模該如何估算或衡量?

目前可見的資金總規模基本就是保險池的體量,約 3800 萬美元。

那這次中文用戶大概佔了多少比例?

這個我不太清楚。不過這次最早、最大聲地站出來維權的,確實是我和 Yishi 兩個人,我們算是打頭陣的。中文用戶這邊發聲比較集中,當然英文用戶也有一些,但整體聲量相對小很多。

目前的解決方案是什麼?

簡單來說,我們的本金直接虧損了 15.5%。社區非常希望項目方採取行動,畢竟這次總損失近一千萬美元。他們團隊的一個開發者拿出了約 150 萬,又從金庫裏拿了大約 80 萬,總共只有 20% 出頭。

他們的態度就像是在說,"你看我們也損失了,別再追究了"。但問題是,爲什麼不用這些錢去和黑客溝通?比如說,"你把錢還回來,我們就把這部分作爲白帽獎勵給你",這樣不是皆大歡喜嗎?但他們完全沒有這樣做。

爲何當初選擇這個協議挖礦?

我大約在 4 月初開始參與 Resupply 這個項目。當時是在刷推特時看到一個我長期關注的人發了相關內容,後來又看到某交易平台官方也轉發了,就引起了我的注意。

現在回過頭來看,項目的運作邏輯就挺奇怪的,它看起來並不是想自己賺錢,而更像是在幫某交易平台去"抬高"某穩定幣的使用量。因爲那個穩定幣本身沒什麼實際用途,他就通過設計機制,強行制造了一個使用場景,然後用激勵去引導大家參與。

從我們這些參與者的角度理解,這事就像是一個大平台想拉升一下數據,就叫自己的"小弟"去幫忙,而且某交易平台也確實給了一定背書,所以我們當時也沒覺得有什麼問題。

像我們這種做挖礦或者套利的,遇到新項目都會先評估兩個關鍵點:第一是產品本身,它到底是怎麼運作的?你賺的錢是從哪來的?第二是項目方的背景,也就是所謂的"場內"和"場外"信息都要做足調研。在我當時的判斷裏,Resupply 這個產品的邏輯相對來說是比較簡單直觀的。

那你覺得出事之後誰應該負責?Resupply 團隊在事情發生後做了哪些關鍵決策?如果對比成熟的 DeFi 協議平台,他們的應對流程有哪些明顯差距?

我認爲他們在事後處理上最大的問題,就是完全缺乏危機應對意識。第一時間連最基本的事情都沒做。這個大家都能在網上查到,某位大佬也提到過:他們既沒有公開喊話黑客,也沒有發公告說明情況,更沒有啓動任何法律或追責機制——連試圖和黑客溝通的動作都沒有,完全就是放任自流。

其他項目至少都會發公告、暫停合約、聯繫白帽、嘗試回收資金,這些基礎操作他們一個都沒做。他們就像什麼都沒發生一樣。

我們也很不理解,爲什麼項目方不積極與社區溝通。整個事件導致損失接近一千萬,而他們自己團隊一個開發者只拿出 150 萬左右,再加上項目金庫拿出約 80 萬,總共也就覆蓋了 20% 左右的虧損。怎麼看這都只是象徵性地"意思一下",杯水車薪。

他們的態度基本是"你看我們也賠錢了,別再找我們麻煩了。"但問題是他們明明可以拿着這筆錢去和黑客談判,說清楚只要你把錢還回來,這筆就當白帽獎勵了,皆大歡喜。可他們完全沒有採取這種措施。

第一點就是他們在追討黑客資產這方面表現得極其被動,甚至是完全不作爲。從上周四事件發生到現在,已經過了幾天,仍然沒有實質進展。

第二點是他們對社區的態度極爲傲慢和冷漠。事情一出,我們很多用戶第一時間去他們的社區詢問,他們卻直接定性說"保險池的人來承擔損失",連基本的討論空間都沒有。我們質疑他們的做法,說文檔中沒有說明用戶需要承擔這樣的損失,結果卻被諷刺、攻擊,甚至直接封號。

他們還說"你們賺了 17% 的年化收益,就要承擔相應的風險。"這邏輯根本站不住腳,我們只是參與了一個年化 17% 的策略,不代表我們要爲協議被盜負全部責任。

我們羣裏的反饋都很一致,不是虧錢最讓人難受,而是在社區裏被羞辱和拉黑的經歷更令人憤怒。這次事件之所以引發這麼強烈的反應,核心原因有兩個:項目方的不作爲,以及他們對用戶的輕視。

如果他們真的是賠不起,可以明確態度,比如先拿出 300 萬,剩下 700 萬讓所有用戶按比例分攤,這也比現在強。但他們的處理方式是,直接把保險池的用戶"拎出來"承擔全部責任。他們這麼做的目的也很明確,就是想保住協議的繼續運行,不讓項目死掉。

最諷刺的是,看他們當時發的公告,幾乎只字不提損失金額,只輕描淡寫地說遇到漏洞,暫停了一個市場,其他都照常,這種信息披露方式非常不負責任。

更嚴重的是黑客通過漏洞以零成本鑄造了一千萬的穩定幣拋售市場,直接打破了原本超額抵押的機制,使得穩定幣背後根本不再有足夠資產支撐。在這種情況下,項目方依然沒有暫停協議,讓用戶自行操作撤資。

結果就是那些反應快的用戶撤了,而保險池的人因爲提取有 7 天延遲,被徹底鎖死。更離譜的是他們又發起了新提案,要暫停保險池提款,進一步凍結用戶資產。至於他們說"壞帳該由保險池承擔",這在 DeFi 協議裏根本沒有先例。他們又一次突破了行業底線,完全沒有任何治理合理性可言。

那以前有什麼項目用這個保險池承擔過損失嗎?

保險池承擔黑帳完全沒有。

參與 Resupply 這個項目只有三個玩法,質押、循環貸、組 LP。實際從用戶預期來看,質押是最求穩的一羣人在裏面,然而現在卻要承擔全部風險。核心問題在於用戶對保險池的預期,我們都認爲只要承擔市場波動造成的壞帳。

保險池這事我當時打了個比方,可能不太精準,但大概是這個意思,就好像你在某交易平台買了理財產品,結果那個平台被盜了,它告訴你,"你不是來存錢的嗎?那損失大家一起扛,尤其是你們這些買了理財的用戶來承擔"。最後,虧的錢只從理財用戶的資金裏扣,其他人不受影響。

實際上以前有些交易所被盜,是全體用戶按比例承擔虧損,但這次不是。他們只讓理財用戶承擔全部損失。他們的邏輯是:"你想薅 2% 的年化利息,就得爲此承擔責任。"甚至還有人說什麼"天下沒有免費的午餐",意思是你拿了 17% 的年化收益,就活該承擔這次被盜的損失,這種說法太離譜了。

你提到曾因信任某交易平台而參與 Resupply,那麼 Resupply 與某交易平台之間你認爲存在怎樣的關係?你認爲某交易平台在事件後的"切割"態度是否合理?

我覺得這可以分成兩個層面看。第一是表面上的邏輯——這個項目確實是爲某交易平台服務的,也爲某交易平台背書,它本身也是某交易平台生態裏的項目。

但另一方面,正常有點判斷力的人都會做出一個合理推理:你看這個協議的設計,基本就是爲了給某交易平台提供服務,說白了就是"小弟"角色。否則它的存在幾乎毫無意義,它核心邏輯就是用自家的礦幣去補貼某交易平台的協議收入。。

你說這種不求回報、純粹輸血的事,除非是真愛,否則誰會幹?尤其是它的代幣,當時我都覺得這個項目撐不過一個月,因爲整體故事沒什麼吸引力,說到底就是爲了給某交易平台的穩定幣帶點新增量,沒啥實質內容。

但後來你看,這價格竟然穩住了,穩了很久。我當時就在想,這誰在托底?想來想去,最合理的解釋就是某交易平台自己在托。誰從中受益,誰最有動力去穩住局面——這是個常識推理,雖然沒有實錘證據,但只要腦子正常,大概都能想到這一點。

沒出事之前,某交易平台高調喊話說這是好項目,現在出事了,立馬撇清,說"只是生態項目,跟我無關"。這態度就跟我們平時看到的一些新聞一樣:一旦出事,就是"臨時工幹的"。現在連我們這些用戶都被封號了,你說這事搞到啥程度了?

如果沒有某交易平台的背書,Resupply 根本不可能融到這麼多錢。我們之所以參與,並不是因爲它的開發團隊——實際上這個團隊的口碑並不好。如果只是他們單獨做個項目,我們肯定不會參與。

真正讓我們選擇參與的有兩個原因:一是它的商業模式是圍繞某交易平台的穩定幣展開的,從邏輯上講等於是幫某交易平台做增長,這種綁定關係讓人感覺相對安全;二是某交易平台官方當時也公開承認這個項目,甚至有爲它背書的動作。

至於你說項目方有黑歷史,確實是有,但這次他們沒有換馬甲,而是繼續用原來的身分做項目,某種程度上也算是一種"實名"負責。