被盗事件后的反思:DeFi 协议 Resupply 受害者的心声

距离 Resupply 遭遇黑客攻击已经一周有余。6 月 26 日,该 DeFi 协议的稳定币"wstUSR 市场"出现安全漏洞,造成近 960 万美元的加密资产损失。作为早期参与该协议挖矿的用户之一,3D 在其 Youtube 频道连续三天发布了维权视频。

3D 既是挖矿玩家,也是内容创作者。在这次访谈中,我们听到了他对这起事件的质疑和情绪,以及一些行业内不愿明说的潜规则。他讨论了 Curve 的"默认背书",项目方对黑客攻击的被动应对,以及社区在维权过程中遭遇的阻挠和羞辱。

相较于金钱损失,更让 3D 寒心的是对行业信心的动摇。他坦言自己虽非损失最重的受害者,却可能是最愤怒的一个——不是因为金钱,而是因为用户身份被漠视和羞辱。他的经历反映了许多 DeFi 参与者的共同困境:权责不明、维权无门、道德底线不断下降。

以下是对话的全部内容:

请 3D 先做个简单的自我介绍。

我在网上用的名字是 3D,目前主要从事自主挖矿工作。我从 2017 年 ICO 热潮时就进入加密货币圈,但真正开始专注 DeFi 和套利是从 2020 年 DeFi Summer 那一波开始的。同时我还运营一个专注 DeFi 套利的 Youtube 频道—3D 加密频道。

目前大概有多少资金受损?实际损失的规模该如何估算或衡量?

目前可见的资金总规模基本就是保险池的体量,约 3800 万美元。

那这次中文用户大概占了多少比例?

这个我不太清楚。不过这次最早、最大声地站出来维权的,确实是我和 Yishi 两个人,我们算是打头阵的。中文用户这边发声比较集中,当然英文用户也有一些,但整体声量相对小很多。

目前的解决方案是什么?

简单来说,我们的本金直接亏损了 15.5%。社区非常希望项目方采取行动,毕竟这次总损失近一千万美元。他们团队的一个开发者拿出了约 150 万,又从金库里拿了大约 80 万,总共只有 20% 出头。

他们的态度就像是在说,"你看我们也损失了,别再追究了"。但问题是,为什么不用这些钱去和黑客沟通?比如说,"你把钱还回来,我们就把这部分作为白帽奖励给你",这样不是皆大欢喜吗?但他们完全没有这样做。

为何当初选择这个协议挖矿?

我大约在 4 月初开始参与 Resupply 这个项目。当时是在刷推特时看到一个我长期关注的人发了相关内容,后来又看到某交易平台官方也转发了,就引起了我的注意。

现在回过头来看,项目的运作逻辑就挺奇怪的,它看起来并不是想自己赚钱,而更像是在帮某交易平台去"抬高"某稳定币的使用量。因为那个稳定币本身没什么实际用途,他就通过设计机制,强行制造了一个使用场景,然后用激励去引导大家参与。

从我们这些参与者的角度理解,这事就像是一个大平台想拉升一下数据,就叫自己的"小弟"去帮忙,而且某交易平台也确实给了一定背书,所以我们当时也没觉得有什么问题。

像我们这种做挖矿或者套利的,遇到新项目都会先评估两个关键点:第一是产品本身,它到底是怎么运作的?你赚的钱是从哪来的?第二是项目方的背景,也就是所谓的"场内"和"场外"信息都要做足调研。在我当时的判断里,Resupply 这个产品的逻辑相对来说是比较简单直观的。

那你觉得出事之后谁应该负责?Resupply 团队在事情发生后做了哪些关键决策?如果对比成熟的 DeFi 协议平台,他们的应对流程有哪些明显差距?

我认为他们在事后处理上最大的问题,就是完全缺乏危机应对意识。第一时间连最基本的事情都没做。这个大家都能在网上查到,某位大佬也提到过:他们既没有公开喊话黑客,也没有发公告说明情况,更没有启动任何法律或追责机制——连试图和黑客沟通的动作都没有,完全就是放任自流。

其他项目至少都会发公告、暂停合约、联系白帽、尝试回收资金,这些基础操作他们一个都没做。他们就像什么都没发生一样。

我们也很不理解,为什么项目方不积极与社区沟通。整个事件导致损失接近一千万,而他们自己团队一个开发者只拿出 150 万左右,再加上项目金库拿出约 80 万,总共也就覆盖了 20% 左右的亏损。怎么看这都只是象征性地"意思一下",杯水车薪。

他们的态度基本是"你看我们也赔钱了,别再找我们麻烦了。"但问题是他们明明可以拿着这笔钱去和黑客谈判,说清楚只要你把钱还回来,这笔就当白帽奖励了,皆大欢喜。可他们完全没有采取这种措施。

第一点就是他们在追讨黑客资产这方面表现得极其被动,甚至是完全不作为。从上周四事件发生到现在,已经过了几天,仍然没有实质进展。

第二点是他们对社区的态度极为傲慢和冷漠。事情一出,我们很多用户第一时间去他们的社区询问,他们却直接定性说"保险池的人来承担损失",连基本的讨论空间都没有。我们质疑他们的做法,说文档中没有说明用户需要承担这样的损失,结果却被讽刺、攻击,甚至直接封号。

他们还说"你们赚了 17% 的年化收益,就要承担相应的风险。"这逻辑根本站不住脚,我们只是参与了一个年化 17% 的策略,不代表我们要为协议被盗负全部责任。

我们群里的反馈都很一致,不是亏钱最让人难受,而是在社区里被羞辱和拉黑的经历更令人愤怒。这次事件之所以引发这么强烈的反应,核心原因有两个:项目方的不作为,以及他们对用户的轻视。

如果他们真的是赔不起,可以明确态度,比如先拿出 300 万,剩下 700 万让所有用户按比例分摊,这也比现在强。但他们的处理方式是,直接把保险池的用户"拎出来"承担全部责任。他们这么做的目的也很明确,就是想保住协议的继续运行,不让项目死掉。

最讽刺的是,看他们当时发的公告,几乎只字不提损失金额,只轻描淡写地说遇到漏洞,暂停了一个市场,其他都照常,这种信息披露方式非常不负责任。

更严重的是黑客通过漏洞以零成本铸造了一千万的稳定币抛售市场,直接打破了原本超额抵押的机制,使得稳定币背后根本不再有足够资产支撑。在这种情况下,项目方依然没有暂停协议,让用户自行操作撤资。

结果就是那些反应快的用户撤了,而保险池的人因为提取有 7 天延迟,被彻底锁死。更离谱的是他们又发起了新提案,要暂停保险池提款,进一步冻结用户资产。至于他们说"坏账该由保险池承担",这在 DeFi 协议里根本没有先例。他们又一次突破了行业底线,完全没有任何治理合理性可言。

那以前有什么项目用这个保险池承担过损失吗?

保险池承担黑账完全没有。

参与 Resupply 这个项目只有三个玩法,质押、循环贷、组 LP。实际从用户预期来看,质押是最求稳的一群人在里面,然而现在却要承担全部风险。核心问题在于用户对保险池的预期,我们都认为只要承担市场波动造成的坏账。

保险池这事我当时打了个比方,可能不太精准,但大概是这个意思,就好像你在某交易平台买了理财产品,结果那个平台被盗了,它告诉你,"你不是来存钱的吗?那损失大家一起扛,尤其是你们这些买了理财的用户来承担"。最后,亏的钱只从理财用户的资金里扣,其他人不受影响。

实际上以前有些交易所被盗,是全体用户按比例承担亏损,但这次不是。他们只让理财用户承担全部损失。他们的逻辑是:"你想薅 2% 的年化利息,就得为此承担责任。"甚至还有人说什么"天下没有免费的午餐",意思是你拿了 17% 的年化收益,就活该承担这次被盗的损失,这种说法太离谱了。

你提到曾因信任某交易平台而参与 Resupply,那么 Resupply 与某交易平台之间你认为存在怎样的关系?你认为某交易平台在事件后的"切割"态度是否合理?

我觉得这可以分成两个层面看。第一是表面上的逻辑——这个项目确实是为某交易平台服务的,也为某交易平台背书,它本身也是某交易平台生态里的项目。

但另一方面,正常有点判断力的人都会做出一个合理推理:你看这个协议的设计,基本就是为了给某交易平台提供服务,说白了就是"小弟"角色。否则它的存在几乎毫无意义,它核心逻辑就是用自家的矿币去补贴某交易平台的协议收入。。

你说这种不求回报、纯粹输血的事,除非是真爱,否则谁会干?尤其是它的代币,当时我都觉得这个项目撑不过一个月,因为整体故事没什么吸引力,说到底就是为了给某交易平台的稳定币带点新增量,没啥实质内容。

但后来你看,这价格竟然稳住了,稳了很久。我当时就在想,这谁在托底?想来想去,最合理的解释就是某交易平台自己在托。谁从中受益,谁最有动力去稳住局面——这是个常识推理,虽然没有实锤证据,但只要脑子正常,大概都能想到这一点。

没出事之前,某交易平台高调喊话说这是好项目,现在出事了,立马撇清,说"只是生态项目,跟我无关"。这态度就跟我们平时看到的一些新闻一样:一旦出事,就是"临时工干的"。现在连我们这些用户都被封号了,你说这事搞到啥程度了?

如果没有某交易平台的背书,Resupply 根本不可能融到这么多钱。我们之所以参与,并不是因为它的开发团队——实际上这个团队的口碑并不好。如果只是他们单独做个项目,我们肯定不会参与。

真正让我们选择参与的有两个原因:一是它的商业模式是围绕某交易平台的稳定币展开的,从逻辑上讲等于是帮某交易平台做增长,这种绑定关系让人感觉相对安全;二是某交易平台官方当时也公开承认这个项目,甚至有为它背书的动作。

至于你说项目方有黑历史,确实是有,但这次他们没有换马甲,而是继续用原来的身份做项目,某种程度上也算是一种"实名"负责。