Deribit：简析 YFI 治理模型资金安全性

大多数用户并不知道，所有重治理的协议，如yearn.finance、Compound或Aave，都有或多或少的托管。

原文标题：《深度丨YFI的治理模型能解决资金安全吗？》撰文：Hasu编译：加密谷Edward

DeFi如何努力平衡治理与存款安全。

摘要

在7月25日推出yVaults到8月6日之间，yearn.finance的开发者AndreCronje掌控着4000万美元的客户资金。8月6日，在与我讨论本文早期的草稿时，他将相关的治理权交给了社区利益相关者的钱包，该钱包也控制着YFI铸币。大多数用户并不知道，所有的治理重协议，如yearn.finance、Compound或Aave，都有或多或少的托管。什么是yearn.finance？

HBAR基金会：Hedera网络上Dapp及其用户正在受网络异常影响:金色财经报道，HBAR基金会发推称，注意到网络异常正在影响Hedera网络上的Dapp及其用户。基金会正在与受影响的合作伙伴进行沟通，帮助解决问题。后续将发布更多信息。[2023/3/9 12:52:40]

yearn.finance将自己描述为一个收益率聚合器。我喜欢把它看作是一个基金，任何人都可以投资，然后一个人类经理将这些资本引导到DeFi中最高收益的机会。

自从7月中旬推出其治理代币YFI以来，yearn.finance的人气爆棚。虽然该代币因其公平的推出和广泛的分布而受到称赞，但人们普遍存在一种误解，认为用户资金是由YFI代币持有者或至少是代表他们利益的多签名钱包控制的。

Meta前员工创立的加密托管公司Derisk已筹集超100万美元:10月12日消息，由Meta前员工创立的加密托管初创公司Derisk正在Wefunder平台上募集资金，其融资目标为120万美元，目前已募集1,017,126美元，参投方包括Lombardstreet Ventures、Pioneer Fund、Stonks Fund、Xoogler Fund等机构投资者，以及Brigit和Strikingly公司高管等天使投资人。

据悉，Derisk使用一流的托管基础设施并利用多方计算（MPC）加密，帮助客户对密钥进行分片和保护、监控及管理，提升Web3公司在存储、保护和移动数字资产安全性。MPC由前Facebook Novi Wallet团队建立。Derisk也是Y Combinator Summer2022孵化企业之一，除了通过Wefunder平台募资之外，他们还在以1500万美元的估值寻求外部融资。[2022/10/12 10:32:06]

实际上，治理是这样的：

FTX、Deribit和BitMEX已经清算了三箭资本的头寸:6月17日消息，据The Block援引3位知情人士报道，在三箭资本未能满足追加保证金的要求后，加密交易平台FTX、Deribit和BitMEX在过去一周内已经清算了三箭资本的头寸。

BitMEX发言人已经证实此消息，但拒绝就具体金额发表评论，并表示BitMEX的法律部门正在与三箭资本就后续步骤保持联系。

此前金融时报报道称，BlockFi是清算三箭资本贷款抵押品头寸的机构之一。Terra研究员爆料称，三箭资本曾隐瞒贷方将贷款资金存入Anchor，LUNA暴跌前曾持上亿枚UST；同时，三箭资本持有部分USDD敞口，此前USDD的小幅脱钩或与其抛售有关；除此之外，三箭资本还拖欠BitMEX一大笔债务。[2022/6/17 4:35:30]

YFI代币持有者可以对新提案进行投票。这些投票是非正式的--当一个提案被批准后，那么yearn.finance的开发者AndreCronje就会去实施它--相比之下，比如说Compound，提案会先实施，然后通过正式投票激活。截至7月21日，9个社区利益相关者中有6个控制了额外的YFI代币的铸造。一名控制者负责所有的投资决策，因此负责客户资金。那个控制者

慢雾：Crosswise遭受攻击因setTrustedForwarder函数未做权限限制:据慢雾区情报，2022年1月18日，bsc链上Crosswise项目遭受攻击。慢雾安全团队进行分析后表示，此次攻击是由于setTrustedForwarder函数未做权限限制，且在获取调用者地址的函数_msg.sender()中，写了一个特殊的判断，导致后续owner权限被转移以及后续对池子的攻击利用。[2022/1/19 8:57:48]

要了解资金托管的方式，我们需要了解Vault和策略。Vault基本上是装着投资者资金的盒子，而策略则是实施投资策略的智能合约，比如把一枚硬币借给最高收益率的货币市场。任何人都可以部署它们，但要分配人们的钱，Vault必须与特定的策略相连。

Dante Federighi：建议CME开始区块链交易和代币化股票:CME即将举行的董事会选举提名人、Fortezza Forza RMC基金创始人Dante Federighi认为，芝商所（CME）现在是开始开采比特币和加密货币以及发行代币化股票的时候了。Federighi表示，可以将B股数字化并分拆，让它们在区块链上自由公开交易，以追踪所有权和交易，将提高效率。他的策略的一部分是实施一个新的治理体系，即每个“新的CME代币”有一个用户，这可能会消除“所有106个和电子公司结构”。通过允许对新的CME代币进行分拆和租赁，Federighi设想了一系列未开发的租赁机会，更高的交易量以及更具流动性的CME产品交易市场。（The Daily Hodl）[2020/3/27]

Vault和策略之间的这种连接是由一个名为控制器的中央智能合约实现的。截至8月6日，控制器中的治理地址是Cronje的地址：

我们简单介绍一下改变Vault策略的步骤。

首先，你调用setStrategy函数。

只有当msg.sender被设置为Controller的governor时，该函数才会执行。

改变策略首先从现有策略中提取所有资金并将其送回保险库。

下一步，你会在Vault上调用earn，它调用Controller的earn函数。

着手将资金发送到新的策略。

你可以在这里亲自检查控制器。

简而言之，控制器可以设置每个Vault的策略，也可以改变已经存在的Vault的策略。

盗窃的可能性

控制员的这种能力允许一个非常简单但强大的漏洞。在任何时候，它都可以决定将Valut连接到一个耗尽所有用户资金的策略上。该策略可以是简单的将这些资金转移到对手控制的账户中，而且用户不会有任何警告或反应期。

和通常的管理员密钥攻击载体一样，主要风险不一定是AC本身变成恶意，而是这个管理员密钥被第三方盗取。

在8月6日的快照中，目前有1.65亿美金被锁在了yearn.finance中，但大部分是在YFI相关的曲线池中，不容易受到治理攻击。4000万美元被锁定在Valut中，这笔钱暴露在所有人面前。

Cronje的反应

8月6日，我与AndreCronje讨论了本文的早期草稿，以确认我的分析是否正确。在这个讨论过程中，他决定对控制器调用setGovernance。

通过这次交易，他将Valut资金的控制权交给了社区控制的多签钱包，并将自己作为一个风险因素移除。

然而，我从未打算让Cronje放弃资金控制权。协议这样设置是有充分的理由的：等待不同时区的9个社区持有人中的6个，会给平台的运营增加大量的开销和延迟。因此：

更加难以对错误做出反应，这在一个复杂的新协议中是很常见的。这将更难快速原型化新的Valut和策略。在DeFi的正确投资策略每天都在变化的市场环境中，它将大规模地损害收益率。相反，我想教育投资者，使用yearn.finance等协议的信任假设是什么。

所有重治理的协议都是或多或少的托管关系

在DeFi现在的炒作中，人们很容易忘记，我在这里描述的漏洞--客户资金可以通过治理被抽走--在许多其他协议中也存在。

例如在Compound中，持币人的超级多数可以在任意的新逻辑中投票。虽然这个逻辑需要48h才能激活，但8亿美金不可能全部及时提现。依靠主动管理的协议很难在必要的治理权利和客户资金安全之间取得平衡。

像yearn.finance这样依靠快速适应市场情况的协议，很可能永远站在需要更多控制权而牺牲存款安全的一边。因此，用户应该不再将其视为一个非托管系统，而是将其视为一个主动管理的基金，控制人就是基金经理。

一个系统中存在的治理越多，就越有可能被捕获。未来的安全DeFi系统在设计时，应尽量减少治理杠杆的作用，才能最大限度地保证安全，最大限度地减少寻租。

来源链接：insights.deribit.com

yEarn

yEarn

yEarn.finance前身是iearn.finance，自动化的DeFi收益率聚合器，在推出治理代币YFI之前，它的管理资产总量约为800万美元，综合收益率约10.5%。它的工作原理主要是自动储蓄稳定币，并通过AAVE、Compound和dYdX等多种协议来实现收益。yEarn.finance是重新推出的产品，带来一套全新的收益率工具，如ytrade、yliquidate、yleverage、ypool和智能合约信用委托贷款。iearniearnAndreYFIyearnyearnyVault查看更多AAVE

标签：EARNYEANANANCLearning StarYea FinanceParm FinanceXBANC币

币安下载热门资讯