NAN:警惕，你可能玩了假的DeFi_XDEFI價格

DeFi如何在治理與存款安全之間取得平衡？長話短說：在7月25日-8月6日這段時間，yearn.finance開發者AndreCronje控制了4000萬美元的客戶資金；8月6日，在與我討論這篇文章的早期草稿時，AndreCronje將相關的治理權移交給了9名社區利益相關者，并通過6-of-9多重簽名機制進行控制；大多數用戶并沒有意識到，所有重治理的協議，比如yearn.finance、Compound或者Aave，或多或少都存在托管資金的問題；什么是yearn.finance？

根據yearn.finance的官方描述，它是作為一個收益聚合協議，但我喜歡把它想象成一個任何人都可以參與投資的基金，然后一名投資經理將這些資本引導到DeFi領域中最高收益的機會中。自7月中旬推出治理代幣YFI以來，yearn.finance的人氣激增，雖然其代幣因公平推出而受到稱贊，但市場普遍存在一種誤解，即很多人會認為資金是由YFI代幣持有者，或者至少是由代表他們利益的多重簽名錢包所控制的。但實際上，治理是這樣運作的：YFI代幣持有人可以就新提案進行投票，這些投票是非正式的，當一項提案獲得批準時，yearn.finance的開發者AndreCronje就會去實施它。與此相對的Compound，是先實施提案，然后通過正式投票激活。自7月21日開始，9名YFI社區利益相關者，通過6-of-9多重簽名的方式控制了額外YFI代幣的鑄造；有一名控制者負責所有的投資決策，因此他實際上相當于控制了客戶資金；控制器

安全團隊：HACHiKO項目代幣超跌90%，請保持警惕:金色財經報道，據CertiK數據監測，HACHiKO項目代幣超跌90%，BSC合約（地址0x66238......c29e） ，請保持警惕。[2022/9/9 13:18:22]

為了了解資金的保管方式，我們就需要了解金庫和策略。金庫基本上是存放投資者資金的盒子，而策略則是執行投資策略的智能合約，例如將幣借給年化收益最高的貨幣市場。任何人都可以部署它們，但要分配人們的錢，金庫必須與特定的策略相連接。而金庫與策略之間的這種連接，是由一個稱為控制器的中央智能合約來實現的。截至8月6日，這個控制器的治理地址就是AndreCronje的地址：

安全公司：警惕DeFi挖礦釣魚授權盜幣攻擊:據慢霧區情報，由于DeFi挖礦項目的火熱，除了仿盤以外，目前已經出現了針對以太坊DeFi挖礦的釣魚攻擊，攻擊者通過新建一個挖礦項目，誘導用戶授權給項目本身，其實是授權給了一個攻擊者自己可控的地址，在授權完成后，用戶資金會被立即轉出。經慢霧安全團隊分析，目前該網站誘導用戶授權給地址0x59DFd93D34DFF5D36dEdD539425a7D7D2a77B3e5，該地址并為合約地址，而是一個攻擊者控制的普通的個人地址。通過區塊瀏覽器查詢顯示，已有20萬枚USDC和52枚YAMV2被轉移。慢霧安全團隊提醒，用戶在操作DeFi項目時，一定要對項目本身進行足夠的了解，并需注意該項目是否通過安全審計，并在授權時，對授權對象進行核對，確認是項目方的地址，避免資金損失。[2020/9/6]

我們將簡要介紹更改一個金庫策略的步驟。首先，調用setStrategy函數：

互金協會聲明：警惕機構冒用協會名義辦金融科技、區塊鏈等活動:據互金協會官網消息，中國互聯網金融協會26日發布消息稱，近日中國互聯網金融協會發現并同時收到一些會員機構反映，社會上有些機構冒用“中國互聯網金融協會”名義舉辦論壇研討會等收費活動，還有機構在宣傳中謊稱中國互聯網金融協會負責人出席論壇研討會演講，如“YHBH 2020中國金融科技國際峰會”“區塊鏈領軍人物·北京研討會”等。中國互聯網金融協會鄭重聲明：如需了解中國互聯網金融協會舉辦的各類活動，請前往中國互聯網金融協會網站、微信公眾號及會員管理系統等官方渠道進行核實。如僅見其他渠道宣傳中國互聯網金融協會“主辦”“承辦”“協辦”“授權”“指導”等各類活動信息，請與中國互聯網金融協會官方核實查證。敬請注意甄別，謹防上當受騙。對冒用中國互聯網金融協會名義等侵權行為，中國互聯網金融協會將保留依法追究責任的權利。[2020/6/26]

馬耳他金管局：警惕未經注冊的虛擬貨幣交易所COINMALEX:馬耳他金融服務管理局（MFSA）發布警告稱，該監管機構已注意到一個以“COINMALEX”名義經營的實體，該實體聲稱系通過馬耳他境內的一個地址運作，但MFSA認為這并非事實。據悉，COINMALEX聲稱可為用戶提供“有利可圖的加密貨幣交易服務以及最高質量的信托資產管理”。[2020/3/26]

只有在msg.sender設置為控制器管理者，這個函數才會執行。更改策略首先從現有策略中提取所有資金，然后將其送回到金庫：

動態 | 新華網：炒幣、挖礦再度火爆，警惕披著區塊鏈馬甲的金融詐騙重出江湖:新華網發文《新華視點：“炒幣”“挖礦”再度火爆，警惕披著區塊鏈“馬甲”的金融詐騙“重出江湖”》。文章指出，一些不法分子打著區塊鏈旗號推廣宣傳虛擬貨幣、資金盤，將區塊鏈技術等同于虛擬貨幣，甚至出現“防范代幣發行融資風險政策已過時”等言論，有的用“鏈”“挖礦”“IMO”“STO”等花樣翻新的名目，披著區塊鏈的“馬甲”開展非法金融活動。目前，上海、北京、廣東等多地金融監管部門相繼出臺措施，對虛擬貨幣交易場所進行摸排整治。國家互聯網金融安全技術專家委員會區塊鏈研究室主任毛洪亮告訴記者，近期傳銷、資金盤等不法活動利用區塊鏈概念和發行虛擬貨幣進行包裝，本身與區塊鏈技術無關，涉及資金多，危害嚴重。[2019/12/4]

在下一步中，你會在金庫中調用earn，這會調用控制器的earn函數：

…從而將資金轉入新策略。你可以在這里親自檢查控制器。簡而言之，控制器可以設置每個金庫的策略，也可以更改現有金庫的策略。存在資金被盜的風險

控制器的這種功能，允許進行非常簡單，但十分強大的攻擊。在任何時候，它都可以決定將金庫與耗盡所有客戶資金的策略連接起來。策略可以簡單到將這些資金轉移到對手控制的賬戶上，而對于用戶來說，不會有警告或反應的時間。與常規的管理密鑰攻擊向量一樣，主要的風險不一定是AndreCronje本人變成惡意者，而是這個管理密鑰被第三方所竊取。在8月6日的快照中，有1.65億美元的資金鎖定在yearn.finance中，其中大部分都鎖在YFI相關的曲線池中，因此它們不易受到治理攻擊，而剩余有4000萬美元的資金鎖定在金庫中，這些錢就暴露在控制者面前。AndreCronje本人的反應

8月6日，我與AndreCronje討論了本文的早期草稿，以確認我的分析是正確的。在討論過程中，他決定調用控制器的setGovernance函數。

通過這個操作，他將金庫資金的控制權交給了社區控制的多重簽名錢包，并將他自己作為一個風險因素排除在外。但實際上，我并不是打算讓AndreCronje放棄對資金的控制權。協議以這種方式建立，是有充分理由的，在不同的時區等待9位社區持有者中的6位，會給平臺的運行增加大量的開銷和延遲，因此，這會導致：對漏洞做出反應會變得更困難，而漏洞在復雜的初期協議中是很常見的；對于新金庫和策略的原型制作，顯然會變得更加困難；在DeFi快速變化的市場環境中，這將極大地損害收益率；相反，我只是想讓投資者更清楚地了解，使用諸如yearn.finance這樣的協議，會面臨著怎樣的信任假設。所有重治理的協議，或多或少都存在托管問題

在現在大肆宣傳的DeFi運動中，大家很容易會忽視我在這里描述的問題：理論上可通過治理來耗盡用戶的資金，而這樣的問題也存在于很多其它DeFi協議中。例如，在Compound中，持有絕大部分治理代幣的人，就可以投票任意的新邏輯，雖然這個邏輯需要48小時才能啟動，但8億美元的資金，不太可能及時全部收回。依賴于主動管理的協議，很難在必要的治理權限和客戶資金的安全性之間取得平衡。像yearn.finance這樣依賴于快速適應市場環境做法的協議，很可能永遠會站在需要更多控制權的一邊，而這會犧牲存款安全為代價。因此，用戶應停止將其視為非托管系統，而應該將其視為主動管理的基金，其中控制者就是基金經理。在此之前，這個基金的管理者是AndreCronje，而在今天，這個基金的管理者是9名社區參與者，他們使用了6-of-9多重簽名機制。而系統中存在的治理越多，那系統就越可能會被捕獲。未來安全的DeFi系統，應該在設計時使用最小的治理杠桿，以便最大限度地提高安全性，并減少尋租。

Tags：EARNEFINANNCEYearn Loans FinanceXDEFI價格Yfive FinanceDefina Finance

芝麻開門交易所