Deribit:简析 YFI 治理模型资金安全性_EARN:HyperXD Finance

大多数用户并不知道,所有重治理的协议,如yearn.finance、Compound或Aave,都有或多或少的托管。

原文标题:《深度丨YFI的治理模型能解决资金安全吗?》撰文:Hasu编译:加密谷Edward

DeFi如何努力平衡治理与存款安全。

摘要

在7月25日推出yVaults到8月6日之间,yearn.finance的开发者AndreCronje掌控着4000万美元的客户资金。8月6日,在与我讨论本文早期的草稿时,他将相关的治理权交给了社区利益相关者的钱包,该钱包也控制着YFI铸币。大多数用户并不知道,所有的治理重协议,如yearn.finance、Compound或Aave,都有或多或少的托管。什么是yearn.finance?

Filecoin矿商时空云宣布战略投资IPFSCloud分布云:IPFS中国社区消息,Filecoin矿商时空云宣布战略投资IPFSCloud.com分布云,该平台设立目的是实现IPFS基础设施资源优化配置,随着Filecoin网络节点能力提升,将为Web3.0应用场景提供分布式内容分发和加速服务。[2021/5/21 22:30:02]

yearn.finance将自己描述为一个收益率聚合器。我喜欢把它看作是一个基金,任何人都可以投资,然后一个人类经理将这些资本引导到DeFi中最高收益的机会。

自从7月中旬推出其治理代币YFI以来,yearn.finance的人气爆棚。虽然该代币因其公平的推出和广泛的分布而受到称赞,但人们普遍存在一种误解,认为用户资金是由YFI代币持有者或至少是代表他们利益的多签名钱包控制的。

Gate.io:FIL现货价格已达203.25美金,涨幅515.90%:据官方公告,Gate.io已经根据用户FIL6持仓情况完成首批FIL分发并在16点上线现货FIL交易,用户可在账户账单明细中查看详情。

Gate.io提示:第一天Gate.io平台释放总量约为1.3w枚。FIL初期流通量很低,后续随着每日释放和外部代币流入,流通量将会迅速上升,价格将会面临很大压力,请务必注意价格变化,切勿追高造成损失。详情点击原文链接。[2020/10/15]

实际上,治理是这样的:

YFI代币持有者可以对新提案进行投票。这些投票是非正式的--当一个提案被批准后,那么yearn.finance的开发者AndreCronje就会去实施它--相比之下,比如说Compound,提案会先实施,然后通过正式投票激活。截至7月21日,9个社区利益相关者中有6个控制了额外的YFI代币的铸造。一名控制者负责所有的投资决策,因此负责客户资金。那个控制者

时空云矿哥:安全和稳定的运维是Filecoin挖矿的重中之重:IPFS100.com现场报道,2020年8月29日,由IPFS100.com、科技寺主办的星际漫游沙龙活动在三里屯科技寺拉开帷幕。时空云科技COO&IPFS.CN主编矿哥带来主题演讲《Filecoin的机遇与挑战》,他指出:目前巨头们纷纷利用IPFS技术布局分布式存储领域,由于IPFS的开源性,因此也吸引了矿工、投资人等参与其中。虽然此前有很多虚假矿机搅乱市场秩序,但Filecoin项目本身是没有问题的,因为Filecoin曾通过了美国证监会的审批,具有强合规性,且有红杉资本等众多顶级风投机构参与投资。硬件、软件、托管、运维等将共同影响Filecoin挖矿,Filecoin挖矿的核心是存储,如果在存储方面没有长时间的积淀,那么会很少有成绩,安全和稳定的运维是Filecoin挖矿的重中之重。[2020/8/29]

要了解资金托管的方式,我们需要了解Vault和策略。Vault基本上是装着投资者资金的盒子,而策略则是实施投资策略的智能合约,比如把一枚硬币借给最高收益率的货币市场。任何人都可以部署它们,但要分配人们的钱,Vault必须与特定的策略相连。

1475联合创始人Andy Tian:Filecoin矿业赛道分工会越来越明确:2020年6月22日,由金色财经主办,节点咨询、IPFS100.com承办,星际特工、麦客存储联合主办的“星际漫游指南——IPFS技术与应用研讨论坛”在深圳拉开帷幕。论坛上1475联合创始人Andy Tian,在题为《生态价值,Filecoin另一个隐藏的金矿》的主题演讲中指出,现在Filecoin矿业赛道很多时候都是一个品牌商把所有的东西都做了,但是接下来分工一定会越来越明确,包括专业化矿机、运维服务、矿池、云算力和挖矿软件优化等。[2020/6/22]

Vault和策略之间的这种连接是由一个名为控制器的中央智能合约实现的。截至8月6日,控制器中的治理地址是Cronje的地址:

动态 | 开发套件Underminer通过加密的TCP通道传输恶意挖矿软件:据Trend Micro博客文章,该网络安全解决方案团队发现了一种名为Underminer的新开发套件,它利用了其他开发套件所使用的功能,阻止研究人员追踪其活动或对有效载荷进行反向工程。Underminer提供了一个bootkit,它会感染系统的启动扇区及一个名为Hidden Mellifera的加密挖掘恶意软件。Underminer通过加密传输控制协议(TCP)隧道传输恶意软件,并使用类似于ROM文件系统格式(romfs)的自定义格式打包恶意文件。据报道Underminer的活动开始于7月17日,至少影响了50万台机器。Trend Micro团队推测Underminer与17年8月报道的浏览器劫持木马Hidden Soul的开发者有关。[2018/7/27]

我们简单介绍一下改变Vault策略的步骤。

首先,你调用setStrategy函数。

只有当msg.sender被设置为Controller的governor时,该函数才会执行。

改变策略首先从现有策略中提取所有资金并将其送回保险库。

下一步,你会在Vault上调用earn,它调用Controller的earn函数。

着手将资金发送到新的策略。

你可以在这里亲自检查控制器。

简而言之,控制器可以设置每个Vault的策略,也可以改变已经存在的Vault的策略。

盗窃的可能性

控制员的这种能力允许一个非常简单但强大的漏洞。在任何时候,它都可以决定将Valut连接到一个耗尽所有用户资金的策略上。该策略可以是简单的将这些资金转移到对手控制的账户中,而且用户不会有任何警告或反应期。

和通常的管理员密钥攻击载体一样,主要风险不一定是AC本身变成恶意,而是这个管理员密钥被第三方盗取。

在8月6日的快照中,目前有1.65亿美金被锁在了yearn.finance中,但大部分是在YFI相关的曲线池中,不容易受到治理攻击。4000万美元被锁定在Valut中,这笔钱暴露在所有人面前。

Cronje的反应

8月6日,我与AndreCronje讨论了本文的早期草稿,以确认我的分析是否正确。在这个讨论过程中,他决定对控制器调用setGovernance。

通过这次交易,他将Valut资金的控制权交给了社区控制的多签钱包,并将自己作为一个风险因素移除。

然而,我从未打算让Cronje放弃资金控制权。协议这样设置是有充分的理由的:等待不同时区的9个社区持有人中的6个,会给平台的运营增加大量的开销和延迟。因此:

更加难以对错误做出反应,这在一个复杂的新协议中是很常见的。这将更难快速原型化新的Valut和策略。在DeFi的正确投资策略每天都在变化的市场环境中,它将大规模地损害收益率。相反,我想教育投资者,使用yearn.finance等协议的信任假设是什么。

所有重治理的协议都是或多或少的托管关系

在DeFi现在的炒作中,人们很容易忘记,我在这里描述的漏洞--客户资金可以通过治理被抽走--在许多其他协议中也存在。

例如在Compound中,持币人的超级多数可以在任意的新逻辑中投票。虽然这个逻辑需要48h才能激活,但8亿美金不可能全部及时提现。依靠主动管理的协议很难在必要的治理权利和客户资金安全之间取得平衡。

像yearn.finance这样依靠快速适应市场情况的协议,很可能永远站在需要更多控制权而牺牲存款安全的一边。因此,用户应该不再将其视为一个非托管系统,而是将其视为一个主动管理的基金,控制人就是基金经理。

一个系统中存在的治理越多,就越有可能被捕获。未来的安全DeFi系统在设计时,应尽量减少治理杠杆的作用,才能最大限度地保证安全,最大限度地减少寻租。

来源链接:insights.deribit.com

yEarn

yEarn

yEarn.finance前身是iearn.finance,自动化的DeFi收益率聚合器,在推出治理代币YFI之前,它的管理资产总量约为800万美元,综合收益率约10.5%。它的工作原理主要是自动储蓄稳定币,并通过AAVE、Compound和dYdX等多种协议来实现收益。yEarn.finance是重新推出的产品,带来一套全新的收益率工具,如ytrade、yliquidate、yleverage、ypool和智能合约信用委托贷款。iearniearnAndreYFIyearnyearnyVault查看更多AAVE

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:62ms0-3:268ms