Entrevista com as vítimas da Resupply: quem deve ser responsabilizado pelos 9,6 milhões de dólares?

Já se passou uma semana desde que o Resupply sofreu perdas financeiras. No dia 26 de junho, o mercado de stablecoins deste protocolo DeFi apresentou uma vulnerabilidade de segurança, resultando na perda de aproximadamente 9,6 milhões de dólares em ativos criptográficos. Como um dos participantes iniciais, o veterano DeFi 3D publicou vídeos de defesa dos direitos durante três dias consecutivos em seu canal do Youtube. Entramos em contato com 3D para discutir uma série de reflexões sobre este evento na qualidade de perdedor.

3D é tanto um jogador de mineração quanto um criador de conteúdo. Na entrevista, ele expressou suas dúvidas e emoções, e também mencionou algumas regras não-ditas da indústria. Ele falou sobre o "aval padrão" da Curve, a resposta negativa da equipe do projeto aos incidentes de hackers, e as proibições e humilhações que a comunidade enfrentou durante o processo de defesa de seus direitos.

Em comparação com a perda de dinheiro, o 3D sente-se mais desanimado pela erosão da confiança na indústria. Ele admite que, embora não seja a pessoa que sofreu a maior perda, pode ser a mais indignada - não apenas por causa do dinheiro, mas também porque a identidade dos usuários foi ignorada e humilhada. Sua experiência reflete a dificuldade comum enfrentada por muitos participantes do DeFi: responsabilidade pouco clara, dificuldade em defender os direitos e a constante diminuição das normas éticas.

Aqui está todo o conteúdo da conversa:

Por favor, 3D, faça uma breve autoapresentação.

Eu uso o nome 3D online. Atualmente, estou principalmente envolvido em mineração autônoma. Entrei no mundo das criptomoedas durante a onda de ICOs em 2017, mas comecei realmente a me concentrar em DeFi e arbitragem a partir do verão de DeFi em 2020. Ao mesmo tempo, também administro um canal no Youtube focado em arbitragem DeFi.

Atualmente, aproximadamente quanto capital foi perdido? Como deve ser estimada ou medida a escala das perdas reais?

A dimensão total dos fundos atualmente visíveis é basicamente o tamanho do fundo de garantia, cerca de 3,8 milhões de dólares.

Qual a proporção de utilizadores chineses desta vez?

Não estou muito certo sobre isso. No entanto, os primeiros e mais vocais defensores dos direitos desta vez foram realmente eu e outro usuário, Yishi, que somos os pioneiros. A comunidade chinesa se manifestou de forma mais concentrada, enquanto os usuários de língua inglesa também se pronunciaram, mas o volume geral é relativamente menor.

Qual é a solução atual?

Em termos simples, nosso capital sofreu uma perda direta de 15,5%. A comunidade espera que a equipe do projeto tome mais medidas, afinal, a perda total desta vez está próxima de dez milhões de dólares. Um dos desenvolvedores da equipe perdeu cerca de 1,5 milhão, e retirou cerca de 800 mil do tesouro, totalizando um pouco mais de 20% da perda.

A atitude deles parece estar a dizer: "Vê, nós também perdemos dinheiro, por isso não insistas mais". Mas a questão é, por que não usam esse dinheiro para comunicar com os hackers? Por exemplo, "se devolveres o dinheiro, nós daremos esta parte como recompensa de 'white hat' a ti", não seria uma solução benéfica para todos? Mas eles não fizeram nada disso.

Por que escolher a mineração deste protocolo?

Comecei a participar no projeto Resupply no início de abril. Na altura, ao navegar no Twitter, vi uma pessoa que sigo há muito tempo a publicar conteúdo relacionado, e depois vi que a conta oficial da Curve também o tinha retweetado, o que chamou a minha atenção.

Agora, olhando para trás, é muito estranho do ponto de vista da lógica operacional do projeto. Não parece que o objetivo seja obter lucro para si mesmo, mas sim ajudar a Curve a aumentar o uso do crvUSD. Como o crvUSD carece de uma utilidade real, ele criou forçosamente um cenário de uso através de um mecanismo de design e depois usou incentivos para orientar a participação de todos.

Da perspectiva dos participantes como nós, isso é como um grande chefe querendo aumentar os dados da plataforma, então manda seus "pequenos irmãos" para fazer a cena. E de fato, a Curve deu um certo grau de endosse, então na época não achamos que havia algum problema.

Como nós que fazemos mineração ou arbitragem, ao encontrar novos projetos, sempre avaliamos dois pontos-chave: primeiro, o próprio produto, como ele realmente funciona? De onde vem o seu lucro? Em segundo lugar, o histórico da equipe do projeto, ou seja, as informações "on-chain" e "off-chain" devem ser totalmente investigadas. Na minha avaliação na época, a lógica do produto Resupply era relativamente simples e intuitiva.

Então, quem você acha que deveria ser responsável após o incidente? Quais decisões-chave a equipe de Resupply tomou após o ocorrido? Se compararmos com plataformas de protocolos DeFi consolidadas, quais são as diferenças claras nos seus processos de resposta?

Eu acho que o maior problema deles na gestão pós-evento é a total falta de consciência sobre como lidar com crises. No primeiro momento, nem sequer fizeram o básico. Isso pode ser verificado por todos na internet, e o grande Yuxian também mencionou: eles não fizeram um apelo público aos hackers, não emitiram um comunicado explicando a situação, e muito menos iniciaram qualquer mecanismo legal ou de responsabilização — nem mesmo tentaram se comunicar com os hackers, simplesmente deixaram a situação correr solta.

Outros projetos pelo menos costumam emitir anúncios, suspender contratos, contatar hackers éticos e tentar recuperar fundos, mas eles não realizaram nenhuma dessas operações básicas. Eles agem como se nada tivesse acontecido.

Nós também não entendemos por que a equipe do projeto não se comunica ativamente com a comunidade. Todo o incidente causou perdas de quase dez milhões, enquanto um único desenvolvedor da equipe contribuiu com cerca de 1,5 milhão, além de a tesouraria do projeto ter disponibilizado cerca de 800 mil, totalizando apenas 20% das perdas. De qualquer forma, isso parece ser apenas uma "gentileza" simbólica, uma gota no oceano.

A atitude deles é basicamente "você vê que nós também estamos perdendo dinheiro, não nos incomode mais." Mas o problema é que eles claramente poderiam usar esse dinheiro para negociar com os hackers, explicando que, desde que você devolva o dinheiro, essa quantia seria considerada uma recompensa de hacker ético, e todos ficariam felizes. Mas eles não tomaram essa medida.

O primeiro ponto é que eles têm se mostrado extremamente passivos na recuperação dos ativos dos hackers, chegando até a não agir de forma alguma. Desde o incidente da última quinta-feira até agora, já se passaram alguns dias e ainda não houve progresso substancial.

O segundo ponto é que a atitude deles em relação à comunidade é extremamente arrogante e indiferente. Assim que a situação surgiu, muitos de nossos usuários perguntaram imediatamente, mas eles simplesmente afirmaram que "as pessoas do fundo de seguro devem arcar com as perdas", sem espaço para uma discussão básica. Questionamos suas ações, dizendo que o documento não mencionava que os usuários deveriam assumir tais perdas, e acabamos sendo zombados, atacados, e até mesmo banidos.

Eles ainda disseram "Vocês ganharam 17% de rendimento anual, então devem assumir os riscos correspondentes." Essa lógica não faz sentido, nós apenas participamos de uma estratégia de 17% ao ano, não significa que devemos ser totalmente responsáveis por um roubo no protocolo.

O feedback no nosso grupo é bastante unânime: não é a perda de dinheiro que mais incomoda, mas sim a experiência de ser humilhado e bloqueado na plataforma de comunicação que é mais revoltante. A razão pela qual este incidente provocou uma reação tão forte deve-se a dois fatores principais: a inação da equipe do projeto e o seu desdém pelos usuários.

Se eles realmente não conseguem arcar com as perdas, poderiam ser mais claros, por exemplo, oferecendo 3 milhões inicialmente, e fazendo com que os usuários compartilhassem proporcionalmente os 7 milhões restantes, isso já seria melhor do que a situação atual. Mas a forma como estão lidando com isso é, basicamente, "retirar" os usuários do fundo de seguro para que assumam toda a responsabilidade. O objetivo deles é bem claro, ou seja, querem garantir a continuidade do protocolo e evitar que o projeto morra.

O mais irônico é que, ao ver o anúncio que fizeram na época, quase não mencionaram o montante das perdas, apenas mencionaram de forma superficial que encontraram uma falha, suspenderam um mercado e que o resto continuava normalmente. Esta forma de divulgação de informações é extremamente irresponsável.

Mais grave ainda, os hackers aproveitaram uma vulnerabilidade para cunhar dez milhões de stablecoins sem custo, inundando o mercado e quebrando diretamente o mecanismo de sobre-colateralização que existia, fazendo com que não houvesse ativos suficientes para apoiar as stablecoins. Nesse caso, a equipe do projeto ainda não suspendeu o protocolo, permitindo que os usuários realizem a retirada por conta própria.

O resultado foi que os usuários mais rápidos retiraram seus fundos, enquanto os usuários do fundo de seguro ficaram completamente bloqueados devido ao atraso de 7 dias na retirada. Para piorar, eles propuseram uma nova medida para suspender as retiradas do fundo de seguro, congelando ainda mais os ativos dos usuários. Quanto à afirmação de que "os calotes deveriam ser cobertos pelo fundo de seguro", isso não tem precedentes em protocolos DeFi. Eles mais uma vez ultrapassaram os limites da indústria, sem qualquer razoabilidade na governança.

Houve algum projeto no passado que usou este fundo de seguro para cobrir perdas?

O pool de seguros que cobre as perdas causadas por hackers é completamente inédito.

Existem apenas três maneiras de participar no projeto Resupply: staking, empréstimos circulares e formação de pools de liquidez. Do ponto de vista das expectativas dos usuários, o staking é o grupo mais conservador, no entanto, agora tem que assumir todo o risco. A questão central está nas expectativas dos usuários em relação ao fundo de seguros; todos nós pensamos que ele só assumirá as perdas causadas pela volatilidade do mercado.

Eu fiz uma comparação que não era muito precisa para explicar a situação: é como se você comprasse um produto de investimento em uma plataforma de negociação, e essa plataforma fosse invadida. Ela lhe diria: "Você não veio aqui para guardar dinheiro? Então, a perda será compartilhada por todos, especialmente por vocês, os usuários que compraram o produto de investimento". No final, o dinheiro perdido é descontado apenas dos fundos dos usuários de investimento, enquanto os outros não são afetados.

Na verdade, em algumas exchanges anteriores que foram hackeadas, todos os usuários arcaram com as perdas proporcionalmente, mas desta vez não foi assim. Eles apenas deixaram os usuários do fundo de seguro arcar com toda a perda. A lógica deles é: "Se você quer obter 2% de juros anuais, precisa assumir a responsabilidade por isso." Há até quem diga que "não há almoços grátis", o que significa que se você obteve um rendimento anual de 17%, deve arcar com as perdas deste roubo. Essa afirmação é absurda.

Você mencionou que participou do Resupply por confiar na Curve, então que relação você acredita que existe entre o Resupply e a Curve? Você acha que a atitude de "corte" da Curve após o evento é razoável?

Eu acho que isso pode ser visto de duas maneiras. A primeira é a lógica superficial - este projeto realmente serve a Curve e recebeu o apoio da Curve, sendo ele próprio um projeto dentro do ecossistema da Curve.

Mas, por outro lado, qualquer pessoa com um pouco de julgamento faria uma dedução razoável: você vê que o design deste protocolo é basicamente para servir a Curve, o que, em termos simples, é o papel de "irmão mais novo". Caso contrário, sua existência seria quase sem sentido, sua lógica central é usar seu próprio token para subsidiar a receita do protocolo da Curve.

Diz-se que este tipo de contribuição sem retorno, pura e simplesmente, só acontece por amor verdadeiro; caso contrário, quem iria fazê-lo? Especialmente em relação ao seu token, na altura eu pensei que este projeto não duraria um mês, porque a história geral não tinha grande atratividade; no fundo, era apenas para trazer um pouco de volume novo para a stablecoin da Curve, sem conteúdo substancial.

Mas depois você vê, este preço conseguiu se manter, e manteve-se por muito tempo. Naquele momento, eu estava pensando, quem está segurando isso? Depois de pensar um pouco, a explicação mais razoável é que a própria Curve está segurando. Quem se beneficia disso, quem tem mais motivação para manter a situação estável — isso é uma inferência de senso comum, embora não haja provas concretas, mas desde que a pessoa tenha um raciocínio normal, provavelmente consegue pensar nisso.

Antes de ocorrer o problema, a Curve fez grandes declarações dizendo que era um bom projeto, mas agora que o problema aconteceu, imediatamente se desvincula, dizendo "é apenas um projeto ecológico, não tem nada a ver comigo". Essa atitude é semelhante a algumas notícias que vemos frequentemente: assim que ocorre um problema, é sempre "trabalho de um temporário". Agora até nós, os usuários, tivemos nossas contas bloqueadas, você pode imaginar até que ponto isso chegou?

Se não fosse pelo endosse da Curve, a Resupply não teria conseguido levantar tanto dinheiro. A razão pela qual participamos não é por causa da equipe de desenvolvimento - na verdade, a reputação dessa equipe não é boa. Se eles estivessem apenas fazendo um projeto sozinhos, com certeza não participaríamos.

Existem duas razões principais que nos fazem escolher participar: a primeira é que o seu modelo de negócios gira em torno das stablecoins da Curve, o que logicamente equivale a ajudar a Curve a crescer, essa relação de vinculação.