Deribit:简析 YFI 治理模型资金安全性
大多数用户并不知道,所有重治理的协议,如 yearn.finance、Compound 或 Aave,都有或多或少的托管。
原文标题:《深度丨 YFI 的治理模型能解决资金安全吗?》
撰文:Hasu
编译:加密谷 Edward
DeFi 如何努力平衡治理与存款安全。
摘要
- 在 7 月 25 日推出 yVaults 到 8 月 6 日之间,yearn.finance 的开发者 Andre Cronje 掌控着 4000 万美元的客户资金。
- 8 月 6 日,在与我讨论本文早期的草稿时,他将相关的治理权交给了社区利益相关者的钱包,该钱包也控制着 YFI 铸币。
- 大多数用户并不知道,所有的治理重协议,如 yearn.finance、Compound 或 Aave,都有或多或少的托管。
什么是 yearn.finance?
yearn.finance 将自己描述为一个收益率聚合器。我喜欢把它看作是一个基金,任何人都可以投资,然后一个人类经理(或一组经理)将这些资本引导到 DeFi 中最高收益的机会。
自从 7 月中旬推出其治理代币 YFI 以来,yearn.finance 的人气爆棚。虽然该代币因其公平的推出和广泛的分布而受到称赞,但人们普遍存在一种误解,认为用户资金是由 YFI 代币持有者或至少是代表他们利益的多签名钱包控制的。
实际上,治理是这样的:
- YFI 代币持有者可以对新提案进行投票。这些投票是非正式的--当一个提案被批准后,那么 yearn.finance 的开发者 Andre Cronje 就会去实施它--相比之下,比如说 Compound,提案会先实施,然后通过正式投票激活。
- 截至 7 月 21 日,9 个社区利益相关者中有 6 个控制了额外的 YFI 代币的铸造。
- 一名控制者负责所有的投资决策,因此负责客户资金。
那个控制者
要了解资金托管的方式,我们需要了解 Vault 和策略。Vault 基本上是装着投资者资金的盒子,而策略则是实施投资策略的智能合约,比如把一枚硬币借给最高收益率的货币市场。任何人都可以部署它们,但要分配人们的钱,Vault 必须与特定的策略相连。
Vault 和策略之间的这种连接是由一个名为控制器的中央智能合约实现的。截至 8 月 6 日,控制器中的治理地址是 Cronje 的地址:
我们简单介绍一下改变 Vault 策略的步骤。
首先,你调用 setStrategy 函数。
只有当 msg.sender 被设置为 Controller 的 governor 时,该函数才会执行。
改变策略首先从现有策略中提取所有资金并将其送回保险库。
下一步,你会在 Vault 上调用 earn ,它调用 Controller 的 earn 函数。
着手将资金发送到新的策略。
你可以在这里亲自检查控制器。
简而言之,控制器可以设置每个 Vault 的策略,也可以改变已经存在的 Vault 的策略。
盗窃的可能性
控制员的这种能力允许一个非常简单但强大的漏洞。在任何时候,它都可以决定将 Valut 连接到一个耗尽所有用户资金的策略上。该策略可以是简单的将这些资金转移到对手控制的账户中,而且用户不会有任何警告或反应期。
和通常的管理员密钥攻击载体一样,主要风险不一定是 AC 本身变成恶意,而是这个管理员密钥被第三方盗取。
在 8 月 6 日的快照中,目前有 1.65 亿美金被锁在了 yearn.finance 中,但大部分是在 YFI 相关的曲线池中,不容易受到治理攻击。4000 万美元被锁定在 Valut 中,这笔钱暴露在所有人面前。
Cronje 的反应
8 月 6 日,我与 Andre Cronje 讨论了本文的早期草稿,以确认我的分析是否正确。在这个讨论过程中,他决定对控制器调用 setGovernance。
通过这次交易,他将 Valut 资金的控制权交给了社区控制的多签钱包,并将自己作为一个风险因素移除。
然而,我从未打算让 Cronje 放弃资金控制权。协议这样设置是有充分的理由的:等待不同时区的 9 个社区持有人中的 6 个,会给平台的运营增加大量的开销和延迟。因此:
- 更加难以对错误做出反应,这在一个复杂的新协议中是很常见的。
- 这将更难快速原型化新的 Valut 和策略。
- 在 DeFi 的正确投资策略每天都在变化的市场环境中,它将大规模地损害收益率。
相反,我想教育投资者,使用 yearn.finance 等协议的信任假设是什么。
所有重治理的协议都是或多或少的托管关系
在 DeFi 现在的炒作中,人们很容易忘记,我在这里描述的漏洞--客户资金可以通过治理被抽走--在许多其他协议中也存在。
例如在 Compound 中,持币人的超级多数可以在任意的新逻辑中投票。虽然这个逻辑需要 48h 才能激活,但 8 亿美金不可能全部及时提现。依靠主动管理的协议很难在必要的治理权利和客户资金安全之间取得平衡。
像 yearn.finance 这样依靠快速适应市场情况的协议,很可能永远站在需要更多控制权而牺牲存款安全的一边。因此,用户应该不再将其视为一个非托管系统,而是将其视为一个主动管理的基金,控制人就是基金经理。
一个系统中存在的治理越多,就越有可能被捕获。未来的安全 DeFi 系统在设计时,应尽量减少治理杠杆的作用,才能最大限度地保证安全,最大限度地减少寻租。
- 免责声明
- 世链财经作为开放的信息发布平台,所有资讯仅代表作者个人观点,与世链财经无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
- 风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
- 世链粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。