距離Resupply 被盜已經過了一周, 6 月26 日,DeFi 協議Resupply 的穩定幣「wstUSR 市場」發生安全漏洞,導致約960 萬美元的加密資產損失。 「常在河邊走,哪有不濕鞋」,DeFi OG 玩家3D 在他的Youtube 頻道連續三天發布了維權視頻,BlockBeats 聯繫到3D,和他聊了聊作為虧損的親歷者,在這場被盜事件發生後的一系列複盤。
3D 是較早參與這個協議挖礦的使用者之一,他的身分既是挖礦玩家,也是內容創作者。我們在這次訪談裡聽到了他的質疑、情緒,以及一些這個行業不願意明說的潛規則。他談到Curve 的「預設背書」,談到專案方面對駭客時的被動應對,也談到了社區在維權時被封鎖、被羞辱的過程。
相較金錢損失,在3D 的敘述中,讓他寒心的是對產業信心的動搖。他坦言自己雖未虧損最重,卻是最憤怒的那一個──不是因為錢,而是因為被漠視與被羞辱的使用者身分。他的經歷折射出了無數DeFi 參與者的共同困境——權責不清、維權無門、道德底線一再退讓。
以下為對話全部:
BlockBeats:請3D 先做個簡單的自我介紹。
3D:我在網路上用的名字是3D,目前主要的工作還是自己挖礦,我從2017 年那一輪ICO 就已經入圈了,但真正開始專注DeFi 和套利是從2020 年的DeFi Summer 那一波開始的,同時還運營一個專注DeFi 套利的Youtube 頻道——3D 加密頻道。
BlockBeats:目前大概有多少資金受損?實際損失的規模該如何估算或衡量?
3D:目前所能看到的資金總規模基本上就是保險池的量體──大約是3,800 萬美元。
BlockBeats:那這次中文用戶大概佔了多少比例?
3D:這個我不是很清楚。不過這次站出來維權聲音最大、最早發聲的,確實是我和Yishi 兩個人,我們等於是打頭陣。中文用戶這邊比較集中發聲,當然英文用戶也有一些,但整體聲量相對小很多。
Resupply 被偷後的這段時間
BlockBeats:目前的解決方案是什麼?
3D:簡單來說,我們的本金直接虧了15.5% 。社區其實很希望他們採取行動,畢竟這次總損失大概有一千萬美元。他們團隊的一個開發者出了約150 萬,他們又從金庫拿了大約80 萬,意思一下,總共不過20% 出頭。
他們的態度就像在說,「你看我們也賠錢了,別再追究了」。但問題是為什麼不拿這些錢去跟駭客溝通?比如說,「你把錢還回來,我們這部分作為白帽獎勵給你」,這樣豈不是皆大歡喜?但他們完全沒做。
BlockBeats:為何選擇當初選擇這個協議挖礦?
3D:我參與Resupply 這個計畫的時間,大概是在4 月初。當時我在刷推特時看到一個我長期關注的人發了相關內容,後來又看到Curve 官方也轉發了,就引起了我的注意。
馬後砲來說,從專案運作邏輯來看就挺奇怪的,它看上去並不是想自己賺錢,而更像是幫Curve 去「抬」crvUSD 的使用量。因為crvUSD 本身沒什麼實際用途,他就透過設計機制,強行製造了一個用例,然後用激勵去引導大家參與。
從我們這些參與者角度理解,這事就像是老大哥想拉一拉平台數據,就叫自己的「小弟」去撐場面,而且Curve 也確實給了他一定背書,所以我們當時也沒覺得有什麼問題。
像我們這種做挖礦或套利的,遇到新專案都會先去評估兩個關鍵點:第一是產品本身,它到底是怎麼運作的?你賺的錢是從哪裡來的?第二是專案方的背景,也就是所謂的「場內」和「場外」資訊都要做足調查。在我當時的判斷裡,Resupply 這個產品的邏輯相對來說是比較簡單直覺的。
BlockBeats:那你覺得出事之後誰該負責? Resupply 團隊在事情發生後做了哪些關鍵決策?如果對比成熟的DeFi 協議平台,他們的因應流程有哪些明顯差距?
3D:我覺得他們事後處理上最大的問題,就是完全沒有危機應對意識。第一時間連最基礎的事情都沒做。這個大家都能在網路上查到,餘弦大佬也提到過:他們既沒有公開喊話黑客,也沒有發公告說明情況,更沒有啟動任何法律或追責機制——連試圖和黑客溝通的動作都沒有,完全就是放任。
其他項目至少都會發佈公告、暫停合約、聯絡白帽、試圖回收資金,這些基礎操作都沒有做。他們就像當沒發生一樣。
我們也很不理解,為什麼專案方不積極與社區溝通。整個事件導致損失接近一千萬,而他們自己團隊一個開發者只出了150 萬左右,再加上項目金庫拿出約80 萬,總共也就覆蓋了20% 左右的虧損。怎麼看這都只是像徵性地「意思一下」,杯水車薪。
他們的態度基本上是「你看我們也賠錢了,別再找我們麻煩了。」但問題是他們明明可以拿著這筆錢去和黑客談判,說清楚只要你把錢還回來,這筆就當白帽獎勵了,皆大歡喜。但他們完全沒有採取這種措施。
3D 在Resupply 官方論壇上的留言,建議嘗試用白帽獎金方式和黑客談,但一直未得到回复
第一點就是他們在追討駭客資產這方面表現得極為被動,甚至是完全不作為。從上週四事件發生到現在,已經過了幾天,仍然沒有實質進展。
第二點是他們對社區的態度極為傲慢和冷漠。事情一出,我們很多用戶第一時間去Discord 詢問,他們卻直接定性說「保險池的人來承擔損失」,連基本的討論空間都沒有。我們質疑他們的做法,說文件中沒有說明使用者需要承擔這樣的損失,結果卻被諷刺、攻擊,甚至直接封號。
他們也說「你們賺了17% 的年化收益,就要承擔相應的風險。」這邏輯根本站不住腳,我們只是參與了一個年化17% 的策略,不代表我們要為協議被盜負全部責任。
我們群組的回饋都很一致,不是虧錢最難受,而是在Discord 裡被羞辱、封鎖的經驗更令人憤怒。這次事件之所以引發這麼強烈的反應,核心原因有二:專案方的不作為,以及他們對使用者的輕視。
如果他們真的是賠不起,可以明確態度,例如先拿出300 萬,剩下700 萬讓所有用戶按比例分攤,這也比現在強。但他們的處理方式是,直接把保險池的用戶「拎出來」承擔全部責任。他們這麼做的目的也很明確,就是想保住協議的繼續運行,不讓專案死掉。
最諷刺的是,看他們當時發的公告,幾乎隻字不提損失金額,只輕描淡寫地說遇到漏洞,暫停了一個市場,其他都照常,這種資訊揭露方式非常不負責任。
更嚴重的是駭客透過漏洞以零成本鑄造了一千萬的穩定幣拋售市場,直接打破了原本超額抵押的機制,使得穩定幣背後根本不再有足夠資產支撐。在這種情況下,專案方依然沒有暫停協議,讓使用者自行操作撤資。
結果就是那些跑得快的用戶撤了,而保險池的人因為提取有7 天延遲,被徹底鎖死。更離譜的是他們又發起了新提案,要暫停保險池提款,進一步凍結用戶資產。至於他們說「壞帳該由保險池承擔」,這在DeFi 協議裡根本沒有先例。他們又突破了產業底線,完全沒有任何治理合理性可言。
BlockBeats:那以前有什麼項目用這個保險池承擔過損失嗎?
3D:保險池承擔黑帳完全沒有。
參與Resupply 這個專案只有三個玩法,質押、循環貸款、組LP。實際上從使用者預期來看,質押是最求穩的一群人在裡面,然而現在卻要承擔全部風險。核心問題在於用戶對保險池的預期,我們都認為只要承擔市場波動造成的壞帳。
保險池這事我當時打了個比方,可能不太精準,但大概是這個意思,就好像你在Binance 買了理財產品,結果Binance 被盜了,它告訴你,「你不是來存錢的嗎?那損失大家一起扛,尤其是你們這些買了理財的用戶來承擔」。最後,虧的錢只從理財用戶的資金扣,其他人不受影響。
實際上以前有些交易所被盜,是全體用戶按比例承擔虧損,但這次不是。他們只讓理財用戶承擔全部損失。他們的邏輯是:「你想薅2% 的年化利息,就得為此承擔責任。」甚至還有人說什麼「天下沒有免費的午餐」,意思是你拿了17% 的年化收益,就活該承擔這次被盜的損失,這種說法太離譜了。
Curve 在這場風波裡扮演了什麼角色?
BlockBeats:你提到曾經因為信任Curve 而參與Resupply,那麼Resupply 與Curve 之間你認為有怎樣的關係?你認為Curve 在事件後的「切割」態度是否合理?
3D:我覺得這可以分成兩個層面看。第一是表面上的邏輯——這個計畫確實是為Curve 服務的,也為Curve 背書,它本身也是Curve 生態裡的計畫。
但另一方面,正常有點判斷力的人都會做出一個合理推理:你看這個協議的設計,基本就是為了給Curve 提供服務,說白了就是「小弟」角色。否則它的存在幾乎毫無意義,它核心邏輯就是用自家的礦幣去補貼Curve 的協議收入。 。
你說這種不求回報、純粹輸血的事,除非是真愛,否則誰會做?尤其是它的代幣,當時我都覺得這個專案撐不過一個月,因為整體故事沒什麼吸引力,說到底就是為了給Curve 的穩定幣帶點新增量,沒啥實質內容。
但後來你看,這價格竟然穩住了,穩了很久。我當時就在想,這誰在托底?想來想去,最合理的解釋就是Curve 自己在托。誰從中受益,誰最有動力去穩住局面——這是個常識推理,雖然沒有實錘證據,但只要腦子正常,大概都能想到這一點。
Resupply 原生代幣價格走勢
沒出事之前,Curve 高調喊話說這是好項目,現在出事了,立刻撇清,說「只是生態項目,跟我無關」。這態度就跟我們平常看到的一些新聞一樣:一旦出事,就是「臨時工幹的」。現在連我們這些用戶都被封了,你說這事搞到啥程度了?
如果沒有Curve 的背書,Resupply 根本不可能融到這麼多錢。我們之所以參與,並不是因為它的開發團隊——實際上這個團隊的口碑並不好。如果只是他們單獨做個項目,我們絕對不會參與。
真正讓我們選擇參與的有兩個原因:一是它的商業模式是圍繞Curve 的穩定幣展開的,從邏輯上講等於是幫Curve 做增長,這種綁定關係讓人感覺相對安全;二是Curve 官方當時也公開承認這個項目,甚至有為它背書的動作。
至於你說專案方有黑歷史,確實是有,但這次他們沒有換馬甲,而是繼續用原來的身份做項目,某種程度上也算是一種「實名」負責。
BlockBeats:Curve 對Resupply 的官方宣傳與背書需要在本事件中應承擔連帶責任嗎?您如何看待生態方「事後撇開」與「事前推廣」之間的利益衝突?
3D:我覺得Curve 在事件發生後的「切割」行為是完全不合理的。你想我就算是個小KOL,如果我曾經推薦過某個礦池,哪怕我沒收一分錢、沒有任何利益關係,這個礦出事了,我也會第一時間發聲,告訴關注我的人現在出了什麼問題,我會去跟進。
Curve 一開始專案正常運作的時候積極背書,專案出問題了就一副「與我無關」的態度,說幾句「遺憾」,然後撇得乾乾淨淨,這樣的行為真的讓人難以接受。
挖礦要如何避免踩坑?
BlockBeats:目前DeFi 使用者權益的最大困難是什麼?
3D:問題的核心在於權責不清,再加上整個產業本身缺乏監管。這種情況下,維權其實非常困難。
如果是美國用戶,情況可能會稍微好一點。因為美國有長臂管轄權,可以透過法律手段跨國追責,甚至有可能追回一部分資金,還能向政府申報損失。但對我們來說,基本上沒有這樣的管道。
BlockBeats: 那這些受損的大戶目前有哪些維權方式呢?
3D:沒有,不然誰願意在網路上當小丑?
說到底,我們根本沒有什麼有效的維權管道。只要專案方鐵了心不負責任,使用者就只能靠自己發聲、組織行動。這次事件對我來說,雖然經濟損失不算大,但我反應特別強烈,因為我覺得這是一種侮辱。如果所有專案方都抱著這種態度,那這個行業根本就沒辦法玩下去了。
說實話,這真的挺讓人心寒的。今天是我被坑,明天可能就是你,只要你還在這個圈子裡,總是會遇到類似的事。老話說得好:「真正的英雄主義,是在看清真相之後依然選擇熱愛。」我們也只能這麼看待這個行業。解決問題,一方面靠專案方有點道德底線,另一方面也需要產業有基本的自律。
BlockBeats:在專案剛上線或仍在宣傳期,您會專注於檢視哪些資訊?
3D:在專案剛上線或還在宣傳期的時候,我通常會專注在幾個方面。
第一是商業模式。這個專案到底是靠什麼賺錢的?利潤來源在哪裡?這是最基礎但也是最關鍵的問題。
二是場內訊息,也就是協議本身的運作機制,例如資金的流入流出是否順暢,有沒有「卡點」──例如進出資金有沒有時間鎖,或是否收取高額手續費,這些都直接關係到使用者體驗和風險。
三是場外資訊。我要看這個團隊以前有沒有做過項目,是不是匿名的,有沒有投資機構支持,背後是誰,能不能打聽到一些背景消息。
除此之外,我還會主動去專案方的Discord 聊一聊,看他們的回應態度和團隊是否可靠。有些人會看審計報告,但我想提醒一點:現在很多出事的項目其實也做過審計。審計最多只能說明專案方願不願意花錢走流程,不能代表專案真的安全。
BlockBeats:你對Curve 生態、保險機制、穩定幣體係是否還有信心?
3D: Curve 現在的處境其實蠻尷尬的。它最初的生態位主要是為了解決Uniswap V2 在穩定幣交易深度上的問題。因為V2 的恆定乘積做市機制在穩定幣之間表現不好,要堆很多資金才能拉出深度。而Curve 當時提出了更平滑的曲線設計,專注於穩定幣兌換。可以說,它一開始就是靠這個差異化在DeFi 裡站穩的,作為一個基礎設施產品,邏輯很清晰。但現在有Floyd 的業務壓力,我覺得它是在走下坡了,不過對穩定幣體系還是有信心的。
我最近其實特別焦慮。雖然這次我個人虧損不算多,但這件事對我最大的打擊,不是錢,而是信心。我一直在這個行業裡,不能說我有多熱愛,但至少是長期投入的。但現在,我開始嚴重懷疑這個行業的可持續性——如果所有專案方都像這次這樣,那麼這個行業根本無法繼續下去。
Yishi 把所有礦都撤了,現在就只打算囤比特幣,其他什麼都不碰了。你想我們這次15.5% 的損失,相當於一年挖礦的年化收益直接歸零。我們本來做的就是相對低風險的策略,不是高槓桿、日賺幾十倍的玩法。一年辛苦賺15 點,現在一天就沒了,誰能受得了?
