EARN:警惕 ！你可能玩了假的DeFi_ANC

寫在前面：

DeFi領域目前充斥著各式各樣的新協議，例如最近爆火的YFI就是其中之一，但本質上，它并不是真正的DeFi協議，據加密貨幣研究員Hasu分析表明，類似YFI這樣重治理的協議，或多或少都存在托管問題，而這就會涉及到用戶資金的安全問題，因此他建議參與者將YFI視為一個托管型投資基金。

原文作者：Hasu

DeFi如何在治理與存款安全之間取得平衡？

長話短說：

在7月25日-8月6日這段時間，yearn.finance開發者AndreCronje控制了4000萬美元的客戶資金；

8月6日，在與我討論這篇文章的早期草稿時，AndreCronje將相關的治理權移交給了9名社區利益相關者，并通過6-of-9多重簽名機制進行控制；

火幣：警惕不法分子冒充火幣人員詐騙:近日，有社群用戶反映有不法分子冒用火幣工作人員名義在各類微信群以高價收USDT等名義公開行騙。

火幣在此鄭重提醒，凡是打著火幣投資炒幣、高價收USDT等名義聯系用戶的，皆視為詐騙行為。此外，火幣致力于保護用戶隱私，火幣工作人員不會以任何形式向外界泄露任何用戶信息，也不會以任何形式在非官方渠道向用戶收售代幣。火幣堅決打擊網絡詐騙，請各位用戶警惕虛假宣傳，仔細甄別詐騙推銷，所有與火幣相關的活動、社群信息，務必以官網公告為準，以免造成資產損失。

火幣全球站現已上線官方驗證通道，詳情點擊原文鏈接，供用戶辨別虛假詐騙行為，用戶可隨時通過該驗證通道確認聯系您的電話、微信等是否為火幣官方渠道。[2020/10/19]

大多數用戶并沒有意識到，所有重治理的協議，比如yearn.finance、Compound或者Aave，或多或少都存在托管資金的問題；

警惕KuCoin黑客正利用Uniswap出貨砸盤:據PeckShield旗下資產追蹤平臺CoinHolmes數據顯示，自09月27日下午3時以來，CoinHolmes監控到標記為KuCoin黑客的多個地址，正持續將盜取的大量OCEAN代幣轉入去中心化交易所Uniswap進行砸盤出貨，PeckShield安全人認為，黑客此舉很可能對OCEAN關聯交易對價格產生較大幅度波動影響，建議在OCEAN提供了流動性的LP盡快移除相關流動性。據悉，KuCoin被盜資產目前經中心化交易所洗錢會面臨較大的封堵壓力，因此黑客正嘗試通過去中心化交易所進行洗錢。[2020/9/27]

什么是yearn.finance？

根據yearn.finance的官方描述，它是作為一個收益聚合協議，但我喜歡把它想象成一個任何人都可以參與投資的基金，然后一名投資經理將這些資本引導到DeFi領域中最高收益的機會中。

分析 | BCH警惕下降通道上軌壓力:分析師K神表示，BCH消息刺激，放量突破19年6月頂點至近期的中期下降趨勢線，一度漲至接近300美元附近再小幅回落到290美元上方，形態上前面9月25日大跌觸及下邊線支撐后，接下來到10月25日一個多月的時間，日線走出一個雙底結構，10月25日跟隨BTC強勢反彈，直接突破上方240美元頸線位壓制，近幾天迎來了快速拉升，一直沖至通道上邊阻力線附近，若再次強勢突破并維持放量，將持續拉大反彈空間，均線上當前價格已站上90日均線，中短期均線多頭排列，整體后續有進一步走強的趨勢，持續拉升短線指標超買，價格已漲至前期籌碼密集成交平臺，一次性突破的可能性不大，預計近期將處于90日均線附近震蕩整理，蓄勢后再嘗試上攻，支撐278美元，壓力位300美元。[2019/10/29]

自7月中旬推出治理代幣YFI以來，yearn.finance的人氣激增，雖然其代幣因公平推出而受到稱贊，但市場普遍存在一種誤解，即很多人會認為資金是由YFI代幣持有者，或者至少是由代表他們利益的多重簽名錢包所控制的。

動態 | Kraken：警惕使用類似交易所域名的網絡釣魚騙局:據AMBCrypto消息，6月21日，加密貨幣交易所Kraken向客戶發出警告，涉及使用類似域名的“騙局”正在進行中。這些騙局通過電子郵件進行渠道化，并嘗試使用類似Kraken的域名。該交易所補充說，客戶盡職調查幫助解決了這個問題。然而，意識到問題的代幣團隊開始向Kraken報告這些“騙局”。Kraken試圖糾正這種情況，建議客戶檢查電子郵件標題，取消關注可疑鏈接，同時還要求他們不要點擊電子郵件附件并限制任何信息泄露。最后，Kraken重申它不收取任何上幣費用，表明這個“騙局”也是針對代幣發行人。[2019/6/22]

但實際上，治理是這樣運作的：

YFI代幣持有人可以就新提案進行投票，這些投票是非正式的，當一項提案獲得批準時，yearn.finance的開發者AndreCronje就會去實施它。與此相對的Compound，是先實施提案，然后通過正式投票激活。

聲音 | 歐洲議會議員：Facebook或成為“影子銀行”，監管機構應高度警惕:據彭博社報道，法國財政部長Bruno Le Maire和德國的歐洲議會議員Markus Ferber都呼吁對Facebook的區塊鏈項目進行監管審查。Ferber警告稱，擁有超過20億用戶的Facebook可能成為“影子銀行”，監管機構應高度警惕。他表示，在推出虛擬貨幣時，不得允許像Facebook這樣的跨國公司在監管天堂中運營。法國財長則稱，毫無疑問，Libra不可能成為主權貨幣，它不可能也不會發生。[2019/6/19]

自7月21日開始，9名YFI社區利益相關者，通過6-of-9多重簽名的方式控制了額外YFI代幣的鑄造；

有一名控制者負責所有的投資決策，因此他實際上相當于控制了客戶資金；

控制器

為了了解資金的保管方式，我們就需要了解金庫和策略。金庫基本上是存放投資者資金的盒子，而策略則是執行投資策略的智能合約，例如將幣借給年化收益最高的貨幣市場。任何人都可以部署它們，但要分配人們的錢，金庫必須與特定的策略相連接。

而金庫與策略之間的這種連接，是由一個稱為控制器的中央智能合約來實現的。截至8月6日，這個控制器的治理地址就是AndreCronje的地址：

我們將簡要介紹更改一個金庫策略的步驟。

首先，調用setStrategy函數：

只有在msg.sender設置為控制器管理者，這個函數才會執行。

更改策略首先從現有策略中提取所有資金，然后將其送回到金庫：

在下一步中，你會在金庫中調用earn，這會調用控制器的earn函數：

…從而將資金轉入新策略。

你可以在這里親自檢查控制器。

簡而言之，控制器可以設置每個金庫的策略，也可以更改現有金庫的策略。

存在資金被盜的風險

控制器的這種功能，允許進行非常簡單，但十分強大的攻擊。在任何時候，它都可以決定將金庫與耗盡所有客戶資金的策略連接起來。策略可以簡單到將這些資金轉移到對手控制的賬戶上，而對于用戶來說，不會有警告或反應的時間。

與常規的管理密鑰攻擊向量一樣，主要的風險不一定是AndreCronje本人變成惡意者，而是這個管理密鑰被第三方所竊取。

在8月6日的快照中，有1.65億美元的資金鎖定在yearn.finance中，其中大部分都鎖在YFI相關的曲線池中，因此它們不易受到治理攻擊，而剩余有4000萬美元的資金鎖定在金庫中，這些錢就暴露在控制者面前。

AndreCronje本人的反應

8月6日，我與AndreCronje討論了本文的早期草稿，以確認我的分析是正確的。在討論過程中，他決定調用控制器的setGovernance函數。

通過這個操作，他將金庫資金的控制權交給了社區控制的多重簽名錢包，并將他自己作為一個風險因素排除在外。

但實際上，我并不是打算讓AndreCronje放棄對資金的控制權。協議以這種方式建立，是有充分理由的，在不同的時區等待9位社區持有者中的6位，會給平臺的運行增加大量的開銷和延遲，因此，這會導致：

對漏洞做出反應會變得更困難，而漏洞在復雜的初期協議中是很常見的；

對于新金庫和策略的原型制作，顯然會變得更加困難；

在DeFi快速變化的市場環境中，這將極大地損害收益率；

相反，我只是想讓投資者更清楚地了解，使用諸如yearn.finance這樣的協議，會面臨著怎樣的信任假設。

所有重治理的協議，或多或少都存在托管問題

在現在大肆宣傳的DeFi運動中，大家很容易會忽視我在這里描述的問題：理論上可通過治理來耗盡用戶的資金，而這樣的問題也存在于很多其它DeFi協議中。

例如，在Compound中，持有絕大部分治理代幣的人，就可以投票任意的新邏輯，雖然這個邏輯需要48小時才能啟動，但8億美元的資金，不太可能及時全部收回。依賴于主動管理的協議，很難在必要的治理權限和客戶資金的安全性之間取得平衡。

像yearn.finance這樣依賴于快速適應市場環境做法的協議，很可能永遠會站在需要更多控制權的一邊，而這會犧牲存款安全為代價。因此，用戶應停止將其視為非托管系統，而應該將其視為主動管理的基金，其中控制者就是基金經理。在此之前，這個基金的管理者是AndreCronje，而在今天，這個基金的管理者是9名社區參與者，他們使用了6-of-9多重簽名機制。

而系統中存在的治理越多，那系統就越可能會被捕獲。未來安全的DeFi系統，應該在設計時使用最小的治理杠桿，以便最大限度地提高安全性，并減少尋租。

Tags：EARNNANNCEANCEARNX價格Wordlex FinancezLOT FinanceVANCAT Egg Token

Ethereum