专访Resupply受害者，谁该为这960万美元负责？

距离 Resupply 被盗已经过去了一周， 6 月 26 日，DeFi 协议 Resupply 的稳定币「wstUSR 市场」发生安全漏洞，导致约 960 万美元的加密资产损失。「常在河边走，哪有不湿鞋」，DeFi OG 玩家 3D 在他的 Youtube 频道连续三天发布了维权视频，BlockBeats 联系到3D，和他聊了聊作为亏损的亲历者，在这场被盗事件发生后的一系列复盘。

3D 是较早参与这个协议挖矿的用户之一，他的身份既是挖矿玩家，也是内容创作者。我们在这次访谈里听到了他的质疑、情绪，以及一些这个行业里不愿意明说的潜规则。他谈到 Curve 的「默认背书」，谈到项目方面对黑客时的被动应对，也谈到了社区在维权时被拉黑、被羞辱的过程。

相较金钱损失，在 3D 的讲述中，让他寒心的是对行业信心的动摇。他坦言自己虽未亏损最重，却是最愤怒的那一个——不是因为钱，而是因为被漠视与被羞辱的用户身份。他的经历折射出了无数 DeFi 参与者的共同困境——权责不清、维权无门、道德底线一再退让。

以下为对话全部内容：

BlockBeats： 请 3D 先做个简单的自我介绍。

3D： 我在网络上用的名字是 3D，目前主要的工作还是自己挖矿，我从 2017 年那一轮 ICO 就已经入圈了，但真正开始专注 DeFi 和套利是从 2020 年的 DeFi Summer 那一波开始的，同时还运营一个专注 DeFi 套利的 Youtube 频道——3D 加密频道。

BlockBeats： 目前大概有多少资金受损？实际损失的规模该如何估算或衡量？

3D： 目前能看到的资金总规模基本上就是保险池的体量——大约是 3800 万美元。

BlockBeats： 那这次中文用户大概占了多少比例？

3D： 这个我不是很清楚。不过这次站出来维权声音最大、最早发声的，确实是我和 Yishi 两个人，我们等于是打头阵。中文用户这边比较集中发声，当然英文用户也有一些，但整体声量相对小很多。

Resupply 被盗后的这段时间

BlockBeats： 目前的解决方案是什么？

3D： 简单来说，我们的本金直接亏了 15.5% 。社区其实很希望他们采取行动，毕竟这次总损失大概有一千万美元。他们团队的一个开发者出了大约 150 万，他们又从金库里拿了大约 80 万，意思一下，总共不过 20% 出头。

他们的态度就像是在说，「你看我们也赔钱了，别再追究了」。但问题是你为什么不拿这些钱去跟黑客沟通？比如说，「你把钱还回来，我们这部分作为白帽奖励给你」，这样岂不是皆大欢喜？但他们完全没做。

BlockBeats： 为何选择当初选择这个协议挖矿？

3D： 我参与 Resupply 这个项目的时间，大概是在 4 月初。当时我在刷推特时看到一个我长期关注的人发了相关内容，后来又看到 Curve 官方也转发了，就引起了我的注意。

马后炮来说，从项目运作逻辑来看就挺奇怪的，它看上去并不是想自己赚钱，而更像是帮 Curve 去「抬」crvUSD 的使用量。因为 crvUSD 本身没什么实际用途，他就通过设计机制，强行制造了一个用例，然后用激励去引导大家参与。

从我们这些参与者角度理解，这事就像是一个老大哥想拉一拉平台数据，就叫自己的「小弟」去撑场面，而且 Curve 也确实给了他一定背书，所以我们当时也没觉得有什么问题。

像我们这种做挖矿或者套利的，遇到新项目都会先去评估两个关键点：第一是产品本身，它到底是怎么运作的？你赚的钱是从哪来的？第二是项目方的背景，也就是所谓的「场内」和「场外」信息都要做足调研。在我当时的判断里，Resupply 这个产品的逻辑相对来说是比较简单直观的。

BlockBeats：那你觉得出事之后谁应该负责？Resupply 团队在事情发生后做了哪些关键决策？如果对比成熟的 DeFi 协议平台，他们的应对流程有哪些明显差距？

3D： 我觉得他们在事后处理上的最大问题，就是完全没有危机应对意识。第一时间连最基础的事情都没做。这个大家都能在网上查到，余弦大佬也提到过：他们既没有公开喊话黑客，也没有发公告说明情况，更没有启动任何法律或追责机制——连试图和黑客沟通的动作都没有，完全就是放任。

其他项目至少都会发公告、暂停合约、联系白帽、试图回收资金，这些基础操作都没有做。他们就像当没发生一样。

我们也很不理解，为什么项目方不积极与社区沟通。整个事件导致损失接近一千万，而他们自己团队一个开发者只出了 150 万左右，再加上项目金库拿出约 80 万，总共也就覆盖了 20% 左右的亏损。怎么看这都只是象征性地「意思一下」，杯水车薪。

他们的态度基本是「你看我们也赔钱了，别再找我们麻烦了。」但问题是他们明明可以拿着这笔钱去和黑客谈判，说清楚只要你把钱还回来，这笔就当白帽奖励了，皆大欢喜。可他们完全没有采取这种措施。

3D 在 Resupply 官方论坛上的留言，建议尝试用白帽奖金方式和黑客谈，但一直未得到回复

第一点就是他们在追讨黑客资产这方面表现得极其被动，甚至是完全不作为。从上周四事件发生到现在，已经过了几天，仍然没有实质进展。

第二点是他们对社区的态度极为傲慢和冷漠。事情一出，我们很多用户第一时间去 Discord 询问，他们却直接定性说「保险池的人来承担损失」，连基本的讨论空间都没有。我们质疑他们的做法，说文档中没有说明用户需要承担这样的损失，结果却被讽刺、攻击，甚至直接封号。

他们还说「你们赚了 17% 的年化收益，就要承担相应的风险。」这逻辑根本站不住脚，我们只是参与了一个年化 17% 的策略，不代表我们要为协议被盗负全部责任。

我们群里的反馈都很一致，不是亏钱最让人难受，而是在 Discord 里被羞辱和拉黑的经历更令人愤怒。这次事件之所以引发这么强烈的反应，核心原因有两个：项目方的不作为，以及他们对用户的轻视。

如果他们真的是赔不起，可以明确态度，比如先拿出 300 万，剩下 700 万让所有用户按比例分摊，这也比现在强。但他们的处理方式是，直接把保险池的用户「拎出来」承担全部责任。他们这么做的目的也很明确，就是想保住协议的继续运行，不让项目死掉。

最讽刺的是，看他们当时发的公告，几乎只字不提损失金额，只轻描淡写地说遇到漏洞，暂停了一个市场，其他都照常，这种信息披露方式非常不负责任。

更严重的是黑客通过漏洞以零成本铸造了一千万的稳定币抛售市场，直接打破了原本超额抵押的机制，使得稳定币背后根本不再有足够资产支撑。在这种情况下，项目方依然没有暂停协议，让用户自行操作撤资。

结果就是那些跑得快的用户撤了，而保险池的人因为提取有 7 天延迟，被彻底锁死。更离谱的是他们又发起了新提案，要暂停保险池提款，进一步冻结用户资产。至于他们说「坏账该由保险池承担」，这在 DeFi 协议里根本没有先例。他们又一次突破了行业底线，完全没有任何治理合理性可言。

BlockBeats： 那以前有什么项目用这个保险池承担过损失吗？

3D： 保险池承担黑账完全没有。

参与 Resupply 这个项目只有三个玩法，质押、循环贷、组 LP。实际从用户预期来看，质押是最求稳的一群人在里面，然而现在却要承担全部风险。核心问题在于用户对保险池的预期，我们都认为只要承担市场波动造成的坏账。

保险池这事我当时打了个比方，可能不太精准，但大概是这个意思，就好像你在 Binance 买了理财产品，结果 Binance 被盗了，它告诉你，「你不是来存钱的吗？那损失大家一起扛，尤其是你们这些买了理财的用户来承担」。最后，亏的钱只从理财用户的资金里扣，其他人不受影响。

实际上以前有些交易所被盗，是全体用户按比例承担亏损，但这次不是。他们只让理财用户承担全部损失。他们的逻辑是：「你想薅 2% 的年化利息，就得为此承担责任。」甚至还有人说什么「天下没有免费的午餐」，意思是你拿了 17% 的年化收益，就活该承担这次被盗的损失，这种说法太离谱了。

Curve 在这场风波里扮演了什么角色？

BlockBeats：你提到曾因信任 Curve 而参与 Resupply，那么 Resupply 与 Curve 之间你认为存在怎样的关系？你认为 Curve 在事件后的「切割」态度是否合理？

3D： 我觉得这可以分成两个层面看。第一是表面上的逻辑——这个项目确实是为 Curve 服务的，也为 Curve 背书，它本身也是 Curve 生态里的项目。

但另一方面，正常有点判断力的人都会做出一个合理推理：你看这个协议的设计，基本就是为了给 Curve 提供服务，说白了就是「小弟」角色。否则它的存在几乎毫无意义，它核心逻辑就是用自家的矿币去补贴 Curve 的协议收入。。

你说这种不求回报、纯粹输血的事，除非是真爱，否则谁会干？尤其是它的代币，当时我都觉得这个项目撑不过一个月，因为整体故事没什么吸引力，说到底就是为了给 Curve 的稳定币带点新增量，没啥实质内容。

但后来你看，这价格竟然稳住了，稳了很久。我当时就在想，这谁在托底？想来想去，最合理的解释就是 Curve 自己在托。谁从中受益，谁最有动力去稳住局面——这是个常识推理，虽然没有实锤证据，但只要脑子正常，大概都能想到这一点。

Resupply 原生代币价格走势

没出事之前，Curve 高调喊话说这是好项目，现在出事了，立马撇清，说「只是生态项目，跟我无关」。这态度就跟我们平时看到的一些新闻一样：一旦出事，就是「临时工干的」。现在连我们这些用户都被封号了，你说这事搞到啥程度了？

如果没有 Curve 的背书，Resupply 根本不可能融到这么多钱。我们之所以参与，并不是因为它的开发团队——实际上这个团队的口碑并不好。如果只是他们单独做个项目，我们肯定不会参与。

真正让我们选择参与的有两个原因：一是它的商业模式是围绕 Curve 的稳定币展开的，从逻辑上讲等于是帮 Curve 做增长，这种绑定关系让人感觉相对安全；二是 Curve 官方当时也公开承认这个项目，甚至有为它背书的动作。

至于你说项目方有黑历史，确实是有，但这次他们没有换马甲，而是继续用原来的身份做项目，某种程度上也算是一种「实名」负责。

BlockBeats：Curve 对 Resupply 的官方宣传与背书需要在本次事件中应承担连带责任吗？您如何看待生态方「事后撇清」与「事前推广」之间的利益冲突？

3D： 我觉得 Curve 在事件发生后的「切割」行为是完全不合理的。你想我就算是个小 KOL，如果我曾经推荐过某个矿池，哪怕我没收一分钱、没有任何利益关系，这个矿出事了，我也会第一时间发声，告诉关注我的人现在出了什么问题，我会去跟进。

Curve 一开始项目正常运行的时候积极背书，项目出问题了就一副「与我无关」的态度，说几句「遗憾」，然后撇得干干净净，这样的行为真的让人难以接受。

挖矿要如何避免踩坑？

BlockBeats：当前 DeFi 用户维权的最大难点是什么？

3D： 问题的核心在于权责不清，再加上整个行业本身缺乏监管。这种情况下，维权其实非常困难。

如果是美国用户，情况可能会稍微好一些。因为美国有长臂管辖权，可以通过法律手段跨国追责，甚至有可能追回一部分资金，还能向政府申报损失。但对于我们来说，基本没有这样的渠道。

BlockBeats： 那这些受损的大户目前有哪些维权方式呢？

3D： 没有，不然谁愿意在互联网上当小丑？

说到底，我们根本没有什么有效的维权渠道。只要项目方铁了心不负责任，用户就只能靠自己发声、组织行动。这次事件对我来说，虽然经济损失不算大，但我反应特别强烈，因为我觉得这是一种侮辱。如果所有项目方都抱着这种态度，那这个行业根本就没法玩下去了。

说实话，这真的挺让人心寒的。今天是我被坑，明天可能就是你，只要你还在这个圈子里，总会遇到类似的事。老话说得好：「真正的英雄主义，是在看清真相之后依然选择热爱。」我们也只能这么看待这个行业。解决问题，一方面靠项目方有点道德底线，另一方面也需要行业有基本的自律。

BlockBeats：在项目刚上线或仍在宣传期，您会重点核查哪些信息？

3D： 在项目刚上线或者还在宣传期的时候，我通常会重点关注几个方面。

第一是商业模式。这个项目到底是靠什么赚钱的？利润来源在哪里？这是最基础但也是最关键的问题。

二是场内信息，也就是协议本身的运行机制，比如资金的流入流出是否顺畅，有没有「卡点」——比如进出资金有没有时间锁，或是否收取高额手续费，这些都直接关系到用户体验和风险。

三是场外信息。我要看这个团队以前有没有做过项目，是不是匿名的，有没有投资机构支持，背后是谁，能不能打听到一些背景消息。

除此之外，我还会主动去项目方的 Discord 聊一聊，看他们的回应态度和团队是否靠谱。有些人会看审计报告，但我想提醒一点：现在很多出事的项目其实也做过审计。审计最多只能说明项目方愿不愿意花钱走流程，并不能代表项目真的安全。

BlockBeats：你对 Curve 生态、保险机制、稳定币体系是否还有信心？

3D： Curve 现在的处境其实挺尴尬的。它最初的生态位主要是为了解决 Uniswap V2 在稳定币交易深度上的问题。因为 V2 的恒定乘积做市机制在稳定币之间表现不好，要堆很多资金才能拉出深度。而 Curve 当时提出了更平滑的曲线设计，专注于稳定币兑换。可以说，它一开始就是靠这个差异化在 DeFi 里站稳的，作为一个基础设施产品，逻辑很清晰。但现在有 Floyd 的业务压力，我觉得它是在走下坡路了，不过对稳定币体系还是有信心的。

我最近其实特别焦虑。虽然这次我个人亏损不算多，但这件事对我最大的打击，不是钱，而是信心。我一直在这个行业里，不能说有多热爱，但至少是长期投入的。但现在，我开始严重怀疑这个行业的可持续性——如果所有项目方都像这次这样，那这个行业根本没法继续下去。

Yishi 把所有矿都撤了，现在就只打算囤比特币，其他什么都不碰了。你想我们这次 15.5% 的损失，相当于一年挖矿的年化收益直接归零。我们本来做的就是相对低风险的策略，不是什么高杠杆、日赚几十倍的玩法。一年辛苦赚 15 个点，现在一天就没了，谁能受得了？