深度丨YFI的治理模型能解决资金安全吗?_EARN:区块链存证证件

作者:DeribitMarketResearch

翻译:Edward

DeFi如何努力平衡治理与存款安全。

摘要

在7月25日推出yVaults到8月6日之间,yearn.financial的开发者AndreCronje掌控着4000万美元的客户资金。

8月6日,在与我讨论本文早期的草稿时,他将相关的治理权交给了社区利益相关者的钱包,该钱包也控制着YFI铸币。

大多数用户并不知道,所有的治理重协议,如yearn.finance、Compound或Aave,都有或多或少的托管。

什么是yearn.finance?

yearn.finance将自己描述为一个收益率聚合器。我喜欢把它看作是一个基金,任何人都可以投资,然后一个人类经理将这些资本引导到DeFi中最高收益的机会。

Bitget与数据服务商AICoin达成深度合作:据官方消息,Bitget官方宣布与数据服务商AICoin达成深度合作,Bitget合约下单正式上线 AICoin,用户可通过AICoin授权下单功能连接Bitget账户。AICoin拥有专业K线、K线复盘、资产统计、智能拆单和自动套利等特色功能。

Bitget成立于2018年,Bitget 为全球100多个国家和地区的800多万用户提供专业服务。[2023/3/10 12:53:39]

自从7月中旬推出其治理代币YFI以来,yearn.finance的人气爆棚。虽然该代币因其公平的推出和广泛的分布而受到称赞,但人们普遍存在一种误解,认为用户资金是由YFI代币持有者或至少是代表他们利益的多签名钱包控制的。

实际上,治理是这样的:

链上ChainUP WaaS联盟与VirgoCX达成深度战略合作:据官方消息,链上ChainUP WaaS联盟宣布与VirgoCX交易所达成深度战略合作,将为VirgoCX提供全方位的WaaS联盟服务,包含主链开发接入、主链技术维护、主链资产托管等,双方就区块链技术应用落地、区块链金融服务、资金安全等方面深度合作。

VirgoCX是加拿大Top5合规的数字资产交易平台,是加拿大金融交易和报告分析中心(FINTRAC)的持牌MSB机构。VirgoCX凭借其优质的流动性、一流的技术和经验、稳定的银行合作关系,持续安全顺畅地为用户提供数字资产交易及法币服务。

WaaS联盟作为企业专享的数字资产托管及金融服务平台,是链上ChainUP集团依托3年时间所服务的600多家企业客户技术服务经验,提供主链资产托管、节点服务、主链定制开发、热门币种一键接入、共管钱包、借贷理财等多种功能服务,联盟内部企业转账 0手续费、实时转帐,同时企业通过WaaS联盟提供的借贷、理财等多种金融服务可有效提升资金使用效率与沉淀资金价值。目前已有超过500家企业加入链上ChainUP WaaS联盟。[2021/1/6 16:32:49]

YFI代币持有者可以对新提案进行投票。这些投票是非正式的--当一个提案被批准后,那么yearn.finance的开发者AndreCronje就会去实施它--相比之下,比如说Compound,提案会先实施,然后通过正式投票激活。

CoinBene俄罗斯分站与媒体BitNevoy达成深度战略合作:据官方消息,CoinBene满币与俄罗斯媒体BitNevoy达成深度战略合作,双方将围绕虚拟货币合约交易、全球市场宣发、资源对接、渠道商招募以及全方面业务拓展展开全方位合作,帮助用户有更好的合约体验。

BitNevoy是集行业新闻、资讯、行情等一站式区块链服务于一体的俄罗斯知名区块链媒体。

CoinBene满币数字资产交易平台在全球180多个国家和地区拥有500多万用户,日活跃用户数超10万,日均交易额30亿美元。2019年初,平台战略布局合约衍生品市场,主要为投资者提供以BTC、USDT进行结算且安全、稳定的永续合约服务,CoinBene满币将继续深化与社区、媒体合作。[2020/5/14]

截至7月21日,9个社区利益相关者中有6个控制了额外的YFI代币的铸造。

声音 | 王新哲:区块链等技术正深度重构全球产业模式、企业形态和价值链分工:据人民网消息,今日,工业和信息化部总经济师王新哲表示,当前世界正在进入以信息产业为主导的经济发展时期,以人工智能、移动通信、工业互联网、量子信息、区块链等为代表的新一代信息技术加速突破应用,正在深度重构全球产业模式、企业形态和价值链分工。[2019/1/20]

一名控制者负责所有的投资决策,因此负责客户资金。

那个控制者

要了解资金托管的方式,我们需要了解Vault和策略。Vault基本上是装着投资者资金的盒子,而策略则是实施投资策略的智能合约,比如把一枚硬币借给最高收益率的货币市场。任何人都可以部署它们,但要分配人们的钱,Vault必须与特定的策略相连。

Vault和策略之间的这种连接是由一个名为控制器的中央智能合约实现的。截至8月6日,控制器中的治理地址是Cronje的地址:

区块链发展过程6阶段 社会认知广度已有但深度不足:IT时代专栏发文称,区块链已成全球经济热点,但区块链的成功应用寥寥,这个新兴产业还远未成熟。作者将区块链的历史与趋势发展划分为六个阶段:

1.技术实验阶段(2007—2009)

2.极客小众阶段(2010-2012)

3.市场酝酿阶段(2013-2015)

4.进入主流阶段(2016-2018)

5.产业落地阶段(约2019-2021)

6.产业成熟阶段(约2022-2025)

同时作者还认为,我们当前仍处在社会认知广度已有,深度尚不足,需要深入推进区块链知识的研究和普及,为产业发展成熟奠定基础。[2018/3/13]

我们简单介绍一下改变Vault策略的步骤。

首先,你调用setStrategy函数。

只有当msg.sender被设置为Controller的governor时,该函数才会执行。

改变策略首先从现有策略中提取所有资金并将其送回保险库。

下一步,你会在Vault上调用earn,它调用Controller的earn函数。

着手将资金发送到新的策略。

你可以在这里亲自检查控制器。

简而言之,控制器可以设置每个Vault的策略,也可以改变已经存在的Vault的策略。

盗窃的可能性

控制员的这种能力允许一个非常简单但强大的漏洞。在任何时候,它都可以决定将Valut连接到一个耗尽所有用户资金的策略上。该策略可以是简单的将这些资金转移到对手控制的账户中,而且用户不会有任何警告或反应期。

和通常的管理员密钥攻击载体一样,主要风险不一定是AC本身变成恶意,而是这个管理员密钥被第三方盗取。

在8月6日的快照中,目前有1.65亿美金被锁在了yearn.finance中,但大部分是在YFI相关的曲线池中,不容易受到治理攻击。4000万美元被锁定在Valut中,这笔钱暴露在所有人面前。

Cronje的反应

8月6日,我与AndreCronje讨论了本文的早期草稿,以确认我的分析是否正确。在这个讨论过程中,他决定对控制器调用setGovernance。

通过这次交易,他将Valut资金的控制权交给了社区控制的多签钱包,并将自己作为一个风险因素移除。

然而,我从未打算让Cronje放弃资金控制权。协议这样设置是有充分的理由的:等待不同时区的9个社区持有人中的6个,会给平台的运营增加大量的开销和延迟。因此:

更加难以对错误做出反应,这在一个复杂的新协议中是很常见的。

这将更难快速原型化新的Valut和策略。

在DeFi的正确投资策略每天都在变化的市场环境中,它将大规模地损害收益率。

相反,我想教育投资者,

使用yearn.finance等协议的信任假设是什么。

所有重治理的协议都是或多或少的托管关系

在DeFi现在的炒作中,人们很容易忘记,我在这里描述的漏洞--客户资金可以通过治理被抽走--在许多其他协议中也存在。

例如在Compound中,持币人的超级多数可以在任意的新逻辑中投票。虽然这个逻辑需要48h才能激活,但8亿美金不可能全部及时提现。依靠主动管理的协议很难在必要的治理权利和客户资金安全之间取得平衡。

像yearn.finance这样依靠快速适应市场情况的协议,很可能永远站在需要更多控制权而牺牲存款安全的一边。因此,用户应该不再将其视为一个非托管系统,而是将其视为一个主动管理的基金,控制人就是基金经理。

一个系统中存在的治理越多,就越有可能被捕获。未来的安全DeFi系统在设计时,应尽量减少治理杠杆的作用,才能最大限度地保证安全,最大限度地减少寻租。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:62ms0-6:851ms