深度丨YFI的治理模型能解決資金安全嗎？_EARN

作者：DeribitMarketResearch

翻譯：Edward

DeFi如何努力平衡治理與存款安全。

摘要

在7月25日推出yVaults到8月6日之間，yearn.financial的開發者AndreCronje掌控著4000萬美元的客戶資金。

8月6日，在與我討論本文早期的草稿時，他將相關的治理權交給了社區利益相關者的錢包，該錢包也控制著YFI鑄幣。

大多數用戶并不知道，所有的治理重協議，如yearn.finance、Compound或Aave，都有或多或少的托管。

什么是yearn.finance？

yearn.finance將自己描述為一個收益率聚合器。我喜歡把它看作是一個基金，任何人都可以投資，然后一個人類經理將這些資本引導到DeFi中最高收益的機會。

橫琴粵澳深度合作區實現數字人民幣境外繳稅:3月24日消息，橫琴粵澳深度合作區已實現數字人民幣境外繳稅，同時也在推動數字人民幣繳稅在外資企業中的應用。橫琴粵澳深度合作區稅務局有關負責人表示，個人需要在數字人民幣試點區域使用內地手機號注冊登錄數字人民幣賬號，即可進行稅費支付；企業納稅人需在網上銀行開通數字人民幣錢包，登錄電子稅務局網簽授權劃繳稅（費）款三方協議，即可使用數字人民幣繳納稅費。[2023/3/24 13:24:15]

自從7月中旬推出其治理代幣YFI以來，yearn.finance的人氣爆棚。雖然該代幣因其公平的推出和廣泛的分布而受到稱贊，但人們普遍存在一種誤解，認為用戶資金是由YFI代幣持有者或至少是代表他們利益的多簽名錢包控制的。

實際上，治理是這樣的：

天津與央企共同出資組建“通用機床”：推動區塊鏈等技術創新與機床產業深度融合:近日，天津市國資委和中國通用技術集團共同出資100億元組建的通用技術集團機床有限公司（簡稱“通用機床”），在天津市完成工商登記注冊，這家央企的機床裝備制造類二級總部正式落戶天津。天津市國資委副主任劉智表示，近期，合作雙方將推動所屬企業部分股權注入通用機床，預計十年左右，通用機床及下屬機床企業將突破一批高端數控機床領域的關鍵技術難題，主導產品總體技術水平和性能指標達到世界先進水平，產品數字化、網絡化、智能化水平將得到顯著提升，實現5G、人工智能、工業互聯網、物聯網、大數據、區塊鏈等技術創新與機床產業的深度融合，構建形成自主可控、安全可靠的國內生產供應體系，為實現“制造強國”和天津市“制造業立市”戰略發展目標提供有力支撐。（今晚報）[2021/7/20 1:04:38]

YFI代幣持有者可以對新提案進行投票。這些投票是非正式的--當一個提案被批準后，那么yearn.finance的開發者AndreCronje就會去實施它--相比之下，比如說Compound，提案會先實施，然后通過正式投票激活。

HyperPay錢包與DeFiBox達成深度戰略合作:據官方消息，近日，HyperPay錢包與一站式DeFi資產管理及收益追蹤平臺DeFiBox達成深度戰略合作，用戶可直接通過HyperPay錢包查看多鏈DeFi項目投資情況，同時實時查看挖礦收益。雙方將在社區生態建設及市場等方面展開更深層次合作。

HyperPay錢包成立于2017年，是一款集托管理財錢包、去中心化自管錢包、HyperMate硬件錢包和共管錢包于一體的多生態數字資產錢包，HyperPay可為用戶提供資產存管、理財增值、消費支付等一站式服務。上線至今，HyperPay資管規模已超10億美元，轉賬超3.1億次。

DeFiBox是一站式DeFi資產管理和信息聚合平臺, 其獨具特色的資產看板模塊可協助用戶追蹤多鏈DeFi項目收益，優化投資組合，目前已支持以太坊、Heco、BSC和OKEx Chain公鏈專區。[2021/4/15 20:23:32]

截至7月21日，9個社區利益相關者中有6個控制了額外的YFI代幣的鑄造。

動態 | “推進京津冀跨域立案全覆蓋座談會”一致認為推動區塊鏈等同立案工作深度融合:據河北法院網報道，7月2日，“推進京津冀跨域立案全覆蓋座談會”在唐山市中院召開，大家一致認為，要針對京津冀跨域立案工作中面臨的新情況新問題，深入調查研究，更新觀念創新發展，推動大數據、人工智能、區塊鏈等科技創新成果同立案工作深度融合，實現京津冀協同立案、一體化立案訴訟服務，推動實現訴訟事項跨區域遠程辦理、跨層級聯動辦理，切實解決好異地訴訟不便等問題。[2019/7/5]

一名控制者負責所有的投資決策，因此負責客戶資金。

那個控制者

要了解資金托管的方式，我們需要了解Vault和策略。Vault基本上是裝著投資者資金的盒子，而策略則是實施投資策略的智能合約，比如把一枚硬幣借給最高收益率的貨幣市場。任何人都可以部署它們，但要分配人們的錢，Vault必須與特定的策略相連。

華爾街財富管理研究院合伙人蔡宇：我們處在區塊鏈深度泡沫中:金色財經現場報道，在2018世界制造業大會區塊鏈技術與產業融合應用論壇上，華爾街財富管理研究院合伙人蔡宇表示，泡沫是豐富營養的，對于區塊鏈泡沫大家非常淡定，我們處在深度泡沫中，而且我們希望泡沫越來越大。目前全球有20億游戲玩家，區塊鏈用戶只占2000萬不到。[2018/5/26]

Vault和策略之間的這種連接是由一個名為控制器的中央智能合約實現的。截至8月6日，控制器中的治理地址是Cronje的地址：

我們簡單介紹一下改變Vault策略的步驟。

首先，你調用setStrategy函數。

只有當msg.sender被設置為Controller的governor時，該函數才會執行。

改變策略首先從現有策略中提取所有資金并將其送回保險庫。

下一步，你會在Vault上調用earn，它調用Controller的earn函數。

著手將資金發送到新的策略。

你可以在這里親自檢查控制器。

簡而言之，控制器可以設置每個Vault的策略，也可以改變已經存在的Vault的策略。

盜竊的可能性

控制員的這種能力允許一個非常簡單但強大的漏洞。在任何時候，它都可以決定將Valut連接到一個耗盡所有用戶資金的策略上。該策略可以是簡單的將這些資金轉移到對手控制的賬戶中，而且用戶不會有任何警告或反應期。

和通常的管理員密鑰攻擊載體一樣，主要風險不一定是AC本身變成惡意，而是這個管理員密鑰被第三方盜取。

在8月6日的快照中，目前有1.65億美金被鎖在了yearn.finance中，但大部分是在YFI相關的曲線池中，不容易受到治理攻擊。4000萬美元被鎖定在Valut中，這筆錢暴露在所有人面前。

Cronje的反應

8月6日，我與AndreCronje討論了本文的早期草稿，以確認我的分析是否正確。在這個討論過程中，他決定對控制器調用setGovernance。

通過這次交易，他將Valut資金的控制權交給了社區控制的多簽錢包，并將自己作為一個風險因素移除。

然而，我從未打算讓Cronje放棄資金控制權。協議這樣設置是有充分的理由的：等待不同時區的9個社區持有人中的6個，會給平臺的運營增加大量的開銷和延遲。因此：

更加難以對錯誤做出反應，這在一個復雜的新協議中是很常見的。

這將更難快速原型化新的Valut和策略。

在DeFi的正確投資策略每天都在變化的市場環境中，它將大規模地損害收益率。

相反，我想教育投資者，

使用yearn.finance等協議的信任假設是什么。

所有重治理的協議都是或多或少的托管關系

在DeFi現在的炒作中，人們很容易忘記，我在這里描述的漏洞--客戶資金可以通過治理被抽走--在許多其他協議中也存在。

例如在Compound中，持幣人的超級多數可以在任意的新邏輯中投票。雖然這個邏輯需要48h才能激活，但8億美金不可能全部及時提現。依靠主動管理的協議很難在必要的治理權利和客戶資金安全之間取得平衡。

像yearn.finance這樣依靠快速適應市場情況的協議，很可能永遠站在需要更多控制權而犧牲存款安全的一邊。因此，用戶應該不再將其視為一個非托管系統，而是將其視為一個主動管理的基金，控制人就是基金經理。

一個系統中存在的治理越多，就越有可能被捕獲。未來的安全DeFi系統在設計時，應盡量減少治理杠桿的作用，才能最大限度地保證安全，最大限度地減少尋租。

Tags：DEFIDEFEFIEARNBrainaut DefiDefiskeletonsDefiBoxEarn Network

AAVE