Phỏng vấn nạn nhân Resupply: Ai nên chịu trách nhiệm cho 9.6 triệu đô la này?

Đã một tuần trôi qua kể từ khi Resupply gặp phải tổn thất tài chính. Vào ngày 26 tháng 6, thị trường stablecoin của giao thức DeFi này đã xuất hiện lỗ hổng bảo mật, gây thiệt hại khoảng 9,6 triệu đô la tài sản tiền điện tử. Là một trong những người tham gia sớm, người chơi DeFi kỳ cựu 3D đã liên tục đăng tải video bảo vệ quyền lợi trong ba ngày trên kênh Youtube của mình. Chúng tôi đã liên hệ với 3D để thảo luận về một loạt suy nghĩ của anh ấy với tư cách là người chịu thua lỗ trong sự kiện này.

3D vừa là người chơi khai thác, vừa là người sáng tạo nội dung. Trong cuộc phỏng vấn, anh đã bày tỏ những nghi ngờ và cảm xúc của mình, đồng thời đề cập đến một số quy tắc ngầm ít ai biết trong ngành. Anh nói về "sự bảo chứng mặc định" của Curve, sự ứng phó tiêu cực của các bên dự án đối với sự cố hack, cũng như những cấm đoán và sự xỉ nhục mà cộng đồng phải đối mặt trong quá trình bảo vệ quyền lợi.

So với việc mất tiền, điều mà 3D cảm thấy đau lòng hơn là sự lung lay niềm tin vào ngành. Anh thừa nhận rằng mặc dù mình không phải là người chịu thiệt hại nhiều nhất, nhưng có thể là người tức giận nhất - không chỉ vì tiền bạc, mà còn vì danh tính người dùng bị coi thường và sỉ nhục. Trải nghiệm của anh phản ánh chung những khó khăn của nhiều người tham gia DeFi: trách nhiệm không rõ ràng, khó khăn trong việc bảo vệ quyền lợi, và giới hạn đạo đức ngày càng bị hạ thấp.

Dưới đây là toàn bộ nội dung của cuộc trò chuyện:

Xin chào 3D, hãy giới thiệu sơ lược về bản thân.

Tôi đang sử dụng cái tên 3D trên mạng. Hiện tại tôi chủ yếu làm việc trong lĩnh vực khai thác tự chủ. Tôi đã gia nhập thế giới tiền điện tử từ cơn sốt ICO năm 2017, nhưng thực sự bắt đầu tập trung vào DeFi và arbitrage từ mùa hè DeFi năm 2020. Đồng thời, tôi cũng điều hành một kênh Youtube tập trung vào arbitrage DeFi.

Hiện tại có khoảng bao nhiêu vốn bị tổn thất? Quy mô thiệt hại thực tế nên được ước tính hoặc đo lường như thế nào?

Quy mô tổng vốn hiện tại có thể thấy chủ yếu là quy mô của quỹ bảo hiểm, khoảng 38 triệu USD.

Vậy lần này người dùng tiếng Trung chiếm tỷ lệ khoảng bao nhiêu?

Điều này tôi không rõ lắm. Tuy nhiên, những người bảo vệ quyền lợi sớm nhất và mạnh mẽ nhất lần này thực sự là tôi và một người dùng khác tên là Yishi, chúng tôi có thể coi là những người dẫn đầu. Người dùng tiếng Trung phát biểu khá tập trung, còn người dùng tiếng Anh cũng có một số, nhưng tổng thể âm lượng tương đối nhỏ hơn nhiều.

Giải pháp hiện tại là gì?

Nói một cách đơn giản, vốn của chúng tôi đã trực tiếp mất 15,5%. Cộng đồng rất mong muốn nhóm dự án có thêm nhiều hành động, vì tổng thiệt hại lần này gần 10 triệu đô la Mỹ. Một nhà phát triển trong đội ngũ của họ đã bỏ ra khoảng 1,5 triệu, và họ đã lấy khoảng 800.000 từ kho bạc, tổng cộng khoảng hơn 20% thiệt hại.

Thái độ của họ dường như đang nói rằng, "Bạn thấy đấy, chúng tôi cũng đã bị lỗ, vì vậy đừng truy cứu nữa". Nhưng vấn đề là, tại sao họ không dùng số tiền này để giao tiếp với hacker? Ví dụ, "Nếu bạn trả lại tiền, chúng tôi sẽ coi phần này là phần thưởng cho hacker mũ trắng". Như vậy không phải là mọi người đều vui vẻ sao? Nhưng họ hoàn toàn không làm như vậy.

Tại sao lại chọn khai thác theo giao thức này ngay từ đầu?

Tôi bắt đầu tham gia dự án Resupply vào khoảng đầu tháng 4. Khi đó, khi đang lướt Twitter, tôi thấy một người mà tôi đã theo dõi lâu dài đăng tải nội dung liên quan, sau đó lại thấy Curve chính thức cũng chia sẻ, điều này đã thu hút sự chú ý của tôi.

Bây giờ nhìn lại, từ góc độ logic hoạt động của dự án thì rất kỳ lạ. Nó không có vẻ gì là muốn tự kiếm lợi, mà giống như đang giúp Curve tăng cường việc sử dụng crvUSD. Bởi vì crvUSD bản thân nó thiếu mục đích thực tế, nó đã tạo ra một tình huống sử dụng một cách cưỡng bức thông qua cơ chế thiết kế, và sau đó dùng các ưu đãi để hướng dẫn mọi người tham gia.

Từ góc độ của những người tham gia như chúng tôi, điều này giống như một ông lớn muốn nâng cao dữ liệu của nền tảng, nên đã để "đệ tử" của mình đi tạo dáng. Hơn nữa, Curve thực sự đã cung cấp một mức độ chứng thực nhất định, vì vậy lúc đó chúng tôi cũng không cảm thấy có vấn đề gì.

Những người như chúng tôi làm khai thác hoặc chênh lệch giá, khi gặp dự án mới đều sẽ đánh giá hai điểm chính: đầu tiên là sản phẩm chính nó, nó hoạt động như thế nào? Tiền bạn kiếm được đến từ đâu? Thứ hai là bối cảnh của bên dự án, tức là thông tin "trong thị trường" và "ngoài thị trường" đều cần được nghiên cứu đầy đủ. Theo phán đoán của tôi lúc đó, logic của sản phẩm Resupply này tương đối đơn giản và trực quan.

Vậy bạn nghĩ ai nên chịu trách nhiệm sau khi sự cố xảy ra? Đội Resupply đã đưa ra những quyết định quan trọng nào sau khi sự việc xảy ra? Nếu so với các nền tảng giao thức DeFi trưởng thành, quy trình phản ứng của họ có những khoảng cách rõ rệt nào?

Tôi nghĩ vấn đề lớn nhất của họ trong việc xử lý sau sự việc là hoàn toàn thiếu ý thức ứng phó khủng hoảng. Ngay từ thời điểm đầu tiên, họ thậm chí không thực hiện những việc cơ bản nhất. Điều này ai cũng có thể tra cứu trên mạng, và đại ca Yu Xian cũng đã đề cập: họ không công khai kêu gọi hacker, cũng không phát thông báo để giải thích tình hình, và càng không khởi động bất kỳ cơ chế pháp lý hay trách nhiệm nào - thậm chí không có cả hành động cố gắng giao tiếp với hacker, hoàn toàn là buông lỏng không quan tâm.

Các dự án khác ít nhất cũng sẽ phát hành thông báo, tạm dừng hợp đồng, liên hệ với hacker mũ trắng, cố gắng thu hồi tiền, nhưng họ thậm chí cũng không thực hiện những thao tác cơ bản này. Họ giống như không có gì xảy ra.

Chúng tôi cũng rất không hiểu tại sao phía dự án không tích cực giao tiếp với cộng đồng. Toàn bộ sự kiện đã gây ra thiệt hại gần mười triệu, trong khi đội ngũ của họ chỉ có một nhà phát triển đã đóng góp khoảng 1,5 triệu, cộng với quỹ dự án đã rút ra khoảng 800.000, tổng cộng chỉ bù đắp được khoảng 20% thiệt hại. Nhìn vào đây, rõ ràng chỉ mang tính tượng trưng "ý nghĩa một chút", như muối bỏ bể.

Thái độ của họ cơ bản là "Bạn thấy đấy, chúng tôi cũng đã lỗ, đừng làm phiền chúng tôi nữa." Nhưng vấn đề là họ hoàn toàn có thể cầm số tiền này để thương lượng với hacker, nói rõ rằng chỉ cần bạn trả lại tiền, số này sẽ được coi như phần thưởng cho hacker thiện, mọi người đều vui vẻ. Nhưng họ hoàn toàn không thực hiện biện pháp này.

Điều đầu tiên là họ thể hiện sự thụ động cực kỳ trong việc đòi lại tài sản của hacker, thậm chí hoàn toàn không hành động. Từ khi sự kiện xảy ra vào thứ Năm tuần trước đến nay, đã qua vài ngày mà vẫn chưa có tiến triển thực sự.

Điều thứ hai là thái độ của họ đối với cộng đồng cực kỳ kiêu ngạo và thờ ơ. Khi sự việc xảy ra, rất nhiều người dùng của chúng tôi đã ngay lập tức đi hỏi, nhưng họ lại trực tiếp kết luận "những người trong quỹ bảo hiểm sẽ gánh chịu tổn thất", ngay cả một không gian thảo luận cơ bản cũng không có. Chúng tôi đã nghi ngờ cách làm của họ, nói rằng tài liệu không đề cập đến việc người dùng phải chịu những tổn thất như vậy, nhưng kết quả lại bị chế nhạo, tấn công, thậm chí bị khóa tài khoản ngay lập tức.

Họ cũng nói "Các bạn đã kiếm được 17% lợi suất hàng năm, thì phải chấp nhận rủi ro tương ứng." Logic này hoàn toàn không đứng vững, chúng tôi chỉ tham gia vào một chiến lược 17% hàng năm, không có nghĩa là chúng tôi phải chịu hoàn toàn trách nhiệm khi hợp đồng bị đánh cắp.

Phản hồi trong nhóm của chúng tôi đều rất nhất quán, không phải việc mất tiền là điều khiến người ta khó chịu nhất, mà là trải nghiệm bị sỉ nhục và bị chặn trên nền tảng giao tiếp mới thật sự gây phẫn nộ. Nguyên nhân cốt lõi khiến sự kiện này gây ra phản ứng mạnh mẽ như vậy có hai điều: sự không hành động của bên dự án, và sự coi thường của họ đối với người dùng.

Nếu họ thực sự không thể chịu lỗ, họ có thể thể hiện rõ ràng thái độ, chẳng hạn như trước tiên đưa ra 3 triệu, phần còn lại 7 triệu để tất cả người dùng chia sẻ theo tỷ lệ, điều này cũng tốt hơn bây giờ. Nhưng cách xử lý của họ là trực tiếp "lôi ra" người dùng trong quỹ bảo hiểm để gánh chịu toàn bộ trách nhiệm. Mục đích họ làm như vậy cũng rất rõ ràng, đó là muốn bảo vệ việc tiếp tục hoạt động của giao thức, không để dự án chết.

Thật mỉa mai, khi xem thông báo mà họ đã phát đi lúc đó, gần như không đề cập đến số tiền thiệt hại, chỉ nhẹ nhàng nói rằng đã gặp phải lỗ hổng, tạm ngừng một thị trường, còn lại đều như thường lệ, cách công bố thông tin này cực kỳ thiếu trách nhiệm.

Nghiêm trọng hơn, tin tặc đã lợi dụng lỗ hổng để đúc ra một triệu stablecoin với chi phí bằng không, bán tháo ra thị trường, trực tiếp phá vỡ cơ chế thế chấp thừa vốn có, khiến cho stablecoin không còn đủ tài sản hỗ trợ phía sau. Trong trường hợp này, nhóm dự án vẫn không tạm dừng giao thức, để người dùng tự thao tác rút vốn.

Kết quả là những người dùng phản ứng nhanh đã rút vốn, trong khi người dùng trong quỹ bảo hiểm bị khóa hoàn toàn do việc rút tiền có độ trễ 7 ngày. Thậm chí còn vô lý hơn khi họ đưa ra đề xuất mới, yêu cầu tạm dừng việc rút tiền từ quỹ bảo hiểm, làm đóng băng thêm tài sản của người dùng. Còn về việc họ nói "nợ xấu nên do quỹ bảo hiểm chịu", điều này hoàn toàn không có tiền lệ trong các giao thức DeFi. Họ lại một lần nữa vượt qua ranh giới của ngành và hoàn toàn không có bất kỳ tính hợp lý nào trong việc quản trị.

Trước đây có dự án nào sử dụng quỹ bảo hiểm này để chịu được tổn thất không?

Bể bảo hiểm chịu trách nhiệm cho tổn thất do hacker gây ra là hoàn toàn chưa từng có tiền lệ.

Có ba cách để tham gia dự án Resupply: Staking, Vay vòng, và Tạo lập pool thanh khoản. Từ góc độ kỳ vọng của người dùng, staking là nhóm người bảo thủ nhất, nhưng giờ đây họ lại phải gánh toàn bộ rủi ro. Vấn đề cốt lõi nằm ở kỳ vọng của người dùng về quỹ bảo hiểm, chúng ta đều cho rằng nó chỉ gánh chịu các khoản nợ xấu do biến động thị trường.

Tôi đã đưa ra một ví dụ không chính xác lắm để mô tả tình huống này: giống như bạn mua một sản phẩm đầu tư trên một nền tảng giao dịch nào đó, kết quả là nền tảng này bị hack, nó nói với bạn, "Bạn không phải đến để gửi tiền sao? Vậy thì mọi người cùng chịu thiệt hại, đặc biệt là các bạn là những người đã mua sản phẩm đầu tư". Cuối cùng, số tiền thua lỗ chỉ được trừ từ quỹ của người dùng đầu tư, những người khác không bị ảnh hưởng.

Trên thực tế, trước đây có một số sàn giao dịch bị hack, tất cả người dùng đều phải chịu thiệt hại theo tỷ lệ, nhưng lần này thì không. Họ chỉ để cho người dùng trong quỹ bảo hiểm chịu toàn bộ tổn thất. Logic của họ là: "Bạn muốn nhận được 2% lãi suất hàng năm, thì phải chịu trách nhiệm cho điều đó." Thậm chí còn có người nói rằng "trên đời này không có bữa trưa miễn phí", nghĩa là nếu bạn nhận được 17% lợi suất hàng năm, bạn phải chịu tổn thất của lần bị hack này, cách nói này thật là vô lý.

Bạn đã đề cập rằng bạn đã tham gia Resupply vì tin tưởng vào Curve, vậy bạn nghĩ mối quan hệ giữa Resupply và Curve là như thế nào? Bạn có nghĩ rằng thái độ "cắt đứt" của Curve sau sự kiện là hợp lý không?

Tôi nghĩ rằng điều này có thể được nhìn từ hai khía cạnh. Thứ nhất là logic bề mặt - dự án này thực sự phục vụ cho Curve và đã nhận được sự ủng hộ từ Curve, nó cũng là một dự án trong hệ sinh thái của Curve.

Nhưng mặt khác, những người có chút phán đoán đều sẽ đưa ra một lý luận hợp lý: bạn xem thiết kế của giao thức này, cơ bản là để cung cấp dịch vụ cho Curve, nói trắng ra là vai trò "em trai". Nếu không thì sự tồn tại của nó gần như vô nghĩa, logic cốt lõi của nó là sử dụng token của chính mình để trợ cấp cho doanh thu của giao thức Curve.

Bạn nói về những việc không cần đền đáp, chỉ đơn thuần là truyền máu như thế này, trừ khi là tình yêu đích thực, nếu không thì ai sẽ làm? Đặc biệt là token của nó, lúc đó tôi đã nghĩ rằng dự án này sẽ không tồn tại quá một tháng, vì câu chuyện tổng thể không có gì hấp dẫn, nói cho cùng chỉ để mang lại một chút lượng mới cho stablecoin của Curve, không có nội dung thực chất.

Nhưng sau đó bạn thấy, giá cả lại ổn định, ổn định rất lâu. Lúc đó tôi đang nghĩ, ai đang đỡ giá? Suy nghĩ mãi, lý do hợp lý nhất chính là Curve tự mình đang đỡ. Ai là người hưởng lợi từ đó, ai có động lực nhất để giữ vững tình hình - đó là một suy luận thông thường, mặc dù không có bằng chứng xác thực, nhưng chỉ cần đầu óc bình thường, chắc hẳn ai cũng có thể nghĩ đến điều này.

Trước khi có sự cố, Curve đã tuyên bố cao giọng rằng đây là một dự án tốt, nhưng khi sự cố xảy ra, họ lập tức phủi tay nói rằng "chỉ là dự án sinh thái, không liên quan đến tôi". Thái độ này giống như những tin tức mà chúng ta thường thấy: một khi có sự cố, thì đó là "do công nhân tạm thời làm". Bây giờ ngay cả chúng tôi, những người dùng này cũng bị khóa tài khoản, bạn nói chuyện này đã đến mức độ nào?

Nếu không có sự bảo lãnh của Curve, Resupply sẽ không thể huy động được nhiều tiền như vậy. Lý do chúng tôi tham gia không phải vì đội ngũ phát triển của nó - thực tế, danh tiếng của đội ngũ này không tốt. Nếu chỉ đơn thuần là họ thực hiện một dự án riêng, chắc chắn chúng tôi sẽ không tham gia.

Có hai lý do thực sự khiến chúng tôi chọn tham gia: Thứ nhất, mô hình kinh doanh của nó xoay quanh stablecoin của Curve, về logic mà nói, giống như đang giúp Curve phát triển, mối quan hệ gắn bó này.