距離 Resupply 被盜已經過去了一週,6 月 26 日,DeFi 協議 Resupply 的穩定幣「wstUSR 市場」發生安全漏洞,導致約 960 萬美元的加密資產損失。「常在河邊走,哪有不溼鞋」,DeFi OG 玩家 3D 在他的 Youtube 頻道連續三天發佈了維權視頻,BlockBeats 聯繫到3D,和他聊了聊作爲虧損的親歷者,在這場被盜事件發生後的一系列覆盤。
3D 是較早參與這個協議挖礦的用戶之一,他的身份既是挖礦玩家,也是內容創作者。我們在這次訪談裏聽到了他的質疑、情緒,以及一些這個行業裏不願意明說的潛規則。他談到 Curve 的「默認背書」,談到項目方面對黑客時的被動應對,也談到了社區在維權時被拉黑、被羞辱的過程。
相較金錢損失,在 3D 的講述中,讓他寒心的是對行業信心的動搖。他坦言自己雖未虧損最重,卻是最憤怒的那一個——不是因爲錢,而是因爲被漠視與被羞辱的用戶身份。他的經歷折射出了無數 DeFi 參與者的共同困境——權責不清、維權無門、道德底線一再退讓。
以下爲對話全部內容:
BlockBeats:請 3D 先做個簡單的自我介紹。
3D:我在網絡上用的名字是 3D,目前主要的工作還是自己挖礦,我從 2017 年那一輪 ICO 就已經入圈了,但真正開始專注 DeFi 和套利是從 2020 年的 DeFi Summer 那一波開始的,同時還運營一個專注 DeFi 套利的 Youtube 頻道——3D 加密頻道。
BlockBeats:目前大概有多少資金受損?實際損失的規模該如何估算或衡量?
3D:目前能看到的資金總規模基本上就是保險池的體量——大約是 3800 萬美元。
BlockBeats:那這次中文用戶大概佔了多少比例?
3D:這個我不是很清楚。不過這次站出來維權聲音最大、最早發聲的,確實是我和 Yishi 兩個人,我們等於是打頭陣。中文用戶這邊比較集中發聲,當然英文用戶也有一些,但整體聲量相對小很多。
Resupply 被盜後的這段時間
BlockBeats: 目前的解決方案是什麼?
3D:簡單來說,我們的本金直接虧了 15.5%。社區其實很希望他們採取行動,畢竟這次總損失大概有一千萬美元。他們團隊的一個開發者出了大約 150 萬,他們又從金庫裏拿了大約 80 萬,意思一下,總共不過 20% 出頭。
他們的態度就像是在說,「你看我們也賠錢了,別再追究了」。但問題是你爲什麼不拿這些錢去跟黑客溝通?比如說,「你把錢還回來,我們這部分作爲白帽獎勵給你」,這樣豈不是皆大歡喜?但他們完全沒做。
BlockBeats:爲何選擇當初選擇這個協議挖礦?
3D:我參與 Resupply 這個項目的時間,大概是在 4 月初。當時我在刷推特時看到一個我長期關注的人發了相關內容,後來又看到 Curve 官方也轉發了,就引起了我的注意。
馬後炮來說,從項目運作邏輯來看就挺奇怪的,它看上去並不是想自己賺錢,而更像是幫 Curve 去「擡」crvUSD 的使用量。因爲 crvUSD 本身沒什麼實際用途,他就通過設計機制,強行製造了一個用例,然後用激勵去引導大家參與。
從我們這些參與者角度理解,這事就像是一個老大哥想拉一拉平臺數據,就叫自己的「小弟」去撐場面,而且 Curve 也確實給了他一定背書,所以我們當時也沒覺得有什麼問題。
像我們這種做挖礦或者套利的,遇到新項目都會先去評估兩個關鍵點:第一是產品本身,它到底是怎麼運作的?你賺的錢是從哪來的?第二是項目方的背景,也就是所謂的「場內」和「場外」信息都要做足調研。在我當時的判斷裏,Resupply 這個產品的邏輯相對來說是比較簡單直觀的。
BlockBeats:那你覺得出事之後誰應該負責?Resupply 團隊在事情發生後做了哪些關鍵決策?如果對比成熟的 DeFi 協議平臺,他們的應對流程有哪些明顯差距?
3D:我覺得他們在事後處理上的最大問題,就是完全沒有危機應對意識。第一時間連最基礎的事情都沒做。這個大家都能在網上查到,餘弦大佬也提到過:他們既沒有公開喊話黑客,也沒有發公告說明情況,更沒有啓動任何法律或追責機制——連試圖和黑客溝通的動作都沒有,完全就是放任。
其他項目至少都會發公告、暫停合約、聯繫白帽、試圖回收資金,這些基礎操作都沒有做。他們就像當沒發生一樣。
我們也很不理解,爲什麼項目方不積極與社區溝通。整個事件導致損失接近一千萬,而他們自己團隊一個開發者只出了 150 萬左右,再加上項目金庫拿出約 80 萬,總共也就覆蓋了 20% 左右的虧損。怎麼看這都只是象徵性地「意思一下」,杯水車薪。
他們的態度基本是「你看我們也賠錢了,別再找我們麻煩了。」但問題是他們明明可以拿着這筆錢去和黑客談判,說清楚只要你把錢還回來,這筆就當白帽獎勵了,皆大歡喜。可他們完全沒有采取這種措施。
3D 在 Resupply 官方論壇上的留言,建議嘗試用白帽獎金方式和黑客談,但一直未得到回覆
第一點就是他們在追討黑客資產這方面表現得極其被動,甚至是完全不作爲。從上週四事件發生到現在,已經過了幾天,仍然沒有實質進展。
第二點是他們對社區的態度極爲傲慢和冷漠。事情一出,我們很多用戶第一時間去 Discord 詢問,他們卻直接定性說「保險池的人來承擔損失」,連基本的討論空間都沒有。我們質疑他們的做法,說文檔中沒有說明用戶需要承擔這樣的損失,結果卻被諷刺、攻擊,甚至直接封號。
他們還說「你們賺了 17% 的年化收益,就要承擔相應的風險。」這邏輯根本站不住腳,我們只是參與了一個年化 17% 的策略,不代表我們要爲協議被盜負全部責任。
我們羣裏的反饋都很一致,不是虧錢最讓人難受,而是在 Discord 裏被羞辱和拉黑的經歷更令人憤怒。這次事件之所以引發這麼強烈的反應,核心原因有兩個:項目方的不作爲,以及他們對用戶的輕視。
如果他們真的是賠不起,可以明確態度,比如先拿出 300 萬,剩下 700 萬讓所有用戶按比例分攤,這也比現在強。但他們的處理方式是,直接把保險池的用戶「拎出來」承擔全部責任。他們這麼做的目的也很明確,就是想保住協議的繼續運行,不讓項目死掉。
最諷刺的是,看他們當時發的公告,幾乎隻字不提損失金額,只輕描淡寫地說遇到漏洞,暫停了一個市場,其他都照常,這種信息披露方式非常不負責任。
更嚴重的是黑客通過漏洞以零成本鑄造了一千萬的穩定幣拋售市場,直接打破了原本超額抵押的機制,使得穩定幣背後根本不再有足夠資產支撐。在這種情況下,項目方依然沒有暫停協議,讓用戶自行操作撤資。
結果就是那些跑得快的用戶撤了,而保險池的人因爲提取有 7 天延遲,被徹底鎖死。更離譜的是他們又發起了新提案,要暫停保險池提款,進一步凍結用戶資產。至於他們說「壞賬該由保險池承擔」,這在 DeFi 協議里根本沒有先例。他們又一次突破了行業底線,完全沒有任何治理合理性可言。
BlockBeats: 那以前有什麼項目用這個保險池承擔過損失嗎?
3D:保險池承擔黑賬完全沒有。
參與 Resupply 這個項目只有三個玩法,質押、循環貸、組 LP。實際從用戶預期來看,質押是最求穩的一羣人在裏面,然而現在卻要承擔全部風險。核心問題在於用戶對保險池的預期,我們都認爲只要承擔市場波動造成的壞賬。
保險池這事我當時打了個比方,可能不太精準,但大概是這個意思,就好像你在 Binance 買了理財產品,結果 Binance 被盜了,它告訴你,「你不是來存錢的嗎?那損失大家一起扛,尤其是你們這些買了理財的用戶來承擔」。最後,虧的錢只從理財用戶的資金里扣,其他人不受影響。
實際上以前有些交易所被盜,是全體用戶按比例承擔虧損,但這次不是。他們只讓理財用戶承擔全部損失。他們的邏輯是:「你想薅 2% 的年化利息,就得爲此承擔責任。」甚至還有人說什麼「天下沒有免費的午餐」,意思是你拿了 17% 的年化收益,就活該承擔這次被盜的損失,這種說法太離譜了。
Curve 在這場風波里扮演了什麼角色?
BlockBeats:你提到曾因信任 Curve 而參與 Resupply,那麼 Resupply 與 Curve 之間你認爲存在怎樣的關係?你認爲 Curve 在事件後的「切割」態度是否合理?
3D:我覺得這可以分成兩個層面看。第一是表面上的邏輯——這個項目確實是爲 Curve 服務的,也爲 Curve 背書,它本身也是 Curve 生態裏的項目。
但另一方面,正常有點判斷力的人都會做出一個合理推理:你看這個協議的設計,基本就是爲了給 Curve 提供服務,說白了就是「小弟」角色。否則它的存在幾乎毫無意義,它核心邏輯就是用自家的礦幣去補貼 Curve 的協議收入。。
你說這種不求回報、純粹輸血的事,除非是真愛,否則誰會幹?尤其是它的代幣,當時我都覺得這個項目撐不過一個月,因爲整體故事沒什麼吸引力,說到底就是爲了給 Curve 的穩定幣帶點新增量,沒啥實質內容。
但後來你看,這價格竟然穩住了,穩了很久。我當時就在想,這誰在託底?想來想去,最合理的解釋就是 Curve 自己在託。誰從中受益,誰最有動力去穩住局面——這是個常識推理,雖然沒有實錘證據,但只要腦子正常,大概都能想到這一點。
Resupply原生代幣價格走勢
沒出事之前,Curve 高調喊話說這是好項目,現在出事了,立馬撇清,說「只是生態項目,跟我無關」。這態度就跟我們平時看到的一些新聞一樣:一旦出事,就是「臨時工乾的」。現在連我們這些用戶都被封號了,你說這事搞到啥程度了?
如果沒有 Curve 的背書,Resupply 根本不可能融到這麼多錢。我們之所以參與,並不是因爲它的開發團隊——實際上這個團隊的口碑並不好。如果只是他們單獨做個項目,我們肯定不會參與。
真正讓我們選擇參與的有兩個原因:一是它的商業模式是圍繞 Curve 的穩定幣展開的,從邏輯上講等於是幫 Curve 做增長,這種綁定關係讓人感覺相對安全;二是 Curve 官方當時也公開承認這個項目,甚至有爲它背書的動作。
至於你說項目方有黑歷史,確實是有,但這次他們沒有換馬甲,而是繼續用原來的身份做項目,某種程度上也算是一種「實名」負責。
BlockBeats:Curve 對 Resupply 的官方宣傳與背書需要在本次事件中應承擔連帶責任嗎?您如何看待生態方「事後撇清」與「事前推廣」之間的利益衝突?
3D:我覺得 Curve 在事件發生後的「切割」行爲是完全不合理的。你想我就算是個小 KOL,如果我曾經推薦過某個礦池,哪怕我沒收一分錢、沒有任何利益關係,這個礦出事了,我也會第一時間發聲,告訴關注我的人現在出了什麼問題,我會去跟進。
Curve 一開始項目正常運行的時候積極背書,項目出問題了就一副「與我無關」的態度,說幾句「遺憾」,然後撇得乾乾淨淨,這樣的行爲真的讓人難以接受。
挖礦要如何避免踩坑?
BlockBeats:當前 DeFi 用戶維權的最大難點是什麼?
3D:問題的核心在於權責不清,再加上整個行業本身缺乏監管。這種情況下,維權其實非常困難。
如果是美國用戶,情況可能會稍微好一些。因爲美國有長臂管轄權,可以通過法律手段跨國追責,甚至有可能追回一部分資金,還能向政府申報損失。但對於我們來說,基本沒有這樣的渠道。
BlockBeats: 那這些受損的大戶目前有哪些維權方式呢?
3D:沒有,不然誰願意在互聯網上當小丑?
說到底,我們根本沒有什麼有效的維權渠道。只要項目方鐵了心不負責任,用戶就只能靠自己發聲、組織行動。這次事件對我來說,雖然經濟損失不算大,但我反應特別強烈,因爲我覺得這是一種侮辱。如果所有項目方都抱着這種態度,那這個行業根本就沒法玩下去了。
說實話,這真的挺讓人心寒的。今天是我被坑,明天可能就是你,只要你還在這個圈子裏,總會遇到類似的事。老話說得好:「真正的英雄主義,是在看清真相之後依然選擇熱愛。」我們也只能這麼看待這個行業。解決問題,一方面靠項目方有點道德底線,另一方面也需要行業有基本的自律。
BlockBeats:在項目剛上線或仍在宣傳期,您會重點核查哪些信息?
3D:在項目剛上線或者還在宣傳期的時候,我通常會重點關注幾個方面。
第一是商業模式。這個項目到底是靠什麼賺錢的?利潤來源在哪裏?這是最基礎但也是最關鍵的問題。
二是場內信息,也就是協議本身的運行機制,比如資金的流入流出是否順暢,有沒有「卡點」——比如進出資金有沒有時間鎖,或是否收取高額手續費,這些都直接關係到用戶體驗和風險。
三是場外信息。我要看這個團隊以前有沒有做過項目,是不是匿名的,有沒有投資機構支持,背後是誰,能不能打聽到一些背景消息。
除此之外,我還會主動去項目方的 Discord 聊一聊,看他們的迴應態度和團隊是否靠譜。有些人會看審計報告,但我想提醒一點:現在很多出事的項目其實也做過審計。審計最多隻能說明項目方願不願意花錢走流程,並不能代表項目真的安全。
BlockBeats:你對 Curve 生態、保險機制、穩定幣體系是否還有信心?
3D:Curve 現在的處境其實挺尷尬的。它最初的生態位主要是爲了解決 Uniswap V2 在穩定幣交易深度上的問題。因爲 V2 的恆定乘積做市機制在穩定幣之間表現不好,要堆很多資金才能拉出深度。而 Curve 當時提出了更平滑的曲線設計,專注於穩定幣兌換。可以說,它一開始就是靠這個差異化在 DeFi 裏站穩的,作爲一個基礎設施產品,邏輯很清晰。但現在有 Floyd 的業務壓力,我覺得它是在走下坡路了,不過對穩定幣體系還是有信心的。
我最近其實特別焦慮。雖然這次我個人虧損不算多,但這件事對我最大的打擊,不是錢,而是信心。我一直在這個行業裏,不能說有多熱愛,但至少是長期投入的。但現在,我開始嚴重懷疑這個行業的可持續性——如果所有項目方都像這次這樣,那這個行業根本沒法繼續下去。
Yishi 把所有礦都撤了,現在就只打算囤比特幣,其他什麼都不碰了。你想我們這次 15.5% 的損失,相當於一年挖礦的年化收益直接歸零。我們本來做的就是相對低風險的策略,不是什麼高槓杆、日賺幾十倍的玩法。一年辛苦賺 15 個點,現在一天就沒了,誰能受得了?
