Yearn.finance安全吗? 作者:@Hasu 要点概述: ●在去年7月25日至8月6日推出yVaults期间,yearn.finance协议开发者Andre Cronje控制着4000万美元的客户资金。 ●8月6日,在与我讨论本文的早期草案时,他将相关的治理权交给了社区利益相关者的9个钱包中的6个,该钱包也控制着YFI代币的创建。 ●大多数用户没有意识到,所有治理密集型协议,如Year、Finance、Compend和AAVE,或多或少都有一定的监管。 什么是Yearn.finance yearn.finance将自己描述为收益汇总器。我喜欢将其视为任何人都可以投资的基金,然后由人事经理(或一组经理)将这笔资金引导到DeFi中收益最高的机会。 自从7月中旬启动其治理代币YFI以来,yearn.finance的人气已激增。虽然该代币因其公平的发行和广泛分发而受到称赞,但人们普遍误解其用户资金由YFI代币持有者或至少代表其利益的多签钱包控制。 实际上,治理的工作方式如下: 1、YFI代币持有人可以对新提案进行投票。这些投票是非正式的——提案获得批准后,nearn.finance的开发者Andre Cronje将实施它——相比之下,Compound则是首先实施提案,然后通过正式投票予以激活。 2、截至7月21日,9个社区中的6个利益相关者控制了额外YFI代币的分发权。 3、财务总监负责所有投资决策,并负责客户资金。 控制器 要了解托管资金的方式,我们需要了解保险库和策略。保管库基本上是装满投资者资金的箱子,策略是执行投资策略的智能合约(例如将代币借给最高年利率货币市场)。任何人都可以部署它们,但是要分配大家的钱,金库必须与特定策略相关联。 保管库和策略之间的这种联系是通过称为Controller的中央智能合约建立的。截至8月6日,Controller的治理地址为Cronje的地址: 我们将简要介绍一下改变金库策略的步骤。 只有将msg.sender设置为控制器的调控器时,才会执行该函数。 在下一步中,您将在Vault上调用earn,该函数调用控制器的earn函数: 这笔收入将把资金送到新的战略中。您可以在这里(https://etherscan.io/address/0x31317f9a5e4cc1d231bdf07755c994015a96a37c#readContract)自行检查控制器。 被盗窃的可能性 Controller的这种功能允许进行非常简单但强大的攻击。它可以随时决定将保管库同耗尽所有用户资金的策略联系起来。该策略可能很简单,例如将这些资金转移到对手控制的帐户中,并且不会为用户提供任何警告或反应期。 与通常的管理密钥攻击载体一样,主要风险不一定是AC自己变恶,也有可能是该管理密钥被第三方窃取。 安德烈·克朗杰(Andre Cronje)的反馈 8月6日,我与安德烈·克朗杰(Andre Cronje)讨论了这篇文章的早期草稿,以确认我的分析是正确的。在此讨论过程中,他决定调用控制器上的setGovernment。 通过该交易,他将金库资金的控制权交给了社区控制的多签钱包,并把自己排除在风险因素之外。 但是,我从未打算让Cronje放弃对资金的控制。建立协议的理由很充分:在不同时区中等待9个社区中的6个社区所有者会增加大量开销,并延迟平台的运行。结果是: ●对bug的反应将更加困难,而bug在复杂的新协议中很常见。 ●快速制定新的金库和战略原型将会更加困难。 ●在DeFi正确的投资策略每天都在变化的市场环境中,这将严重损害收益。 相反,我想教育投资者使用像yearn.finance这样通过协议实现的信任假设。 所有治理密集型协议都或多或少具有监管 在DeFi正进行炒作的当下,很容易忽略我在这里所描述的漏洞——可以通过治理耗尽客户资金——也存在于许多其他协议中。
(本文为翻译转载,仅代表原作者个人观点。原文地址:https://insights.deribit.com/market-research/is-yearn-finance-safe-to-use/) EOS Cannon往期好文精选 1、黑客在ETC网络中发动51%算力攻击,盗取了80.7万ETC(下) 2、非常规损失与Bancor V2(下) 3、中央银行已经变得无关紧要了(下) 4、比较流动性挖矿和PoW 5、聚合理论在DeFi中的应用(下) 6、ETH + DeFi价值链基本框架的简要介绍(下) 7、解开常见的比特币误解(下) EOS Cannon 社群官网:https://eoscannon.io 官方twitter:https://twitter.com/cannon_eos —- 编译者/作者:等风的小胖 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
Yearn.finance安全吗?
2020-08-17 等风的小胖 来源:区块链网络
LOADING...
相关阅读:
- 11:35更新红包|| 被誉为人间最强拆分盘的Ampleforth,它的运行机制是怎样2020-08-17
- 会赚钱的数字黄金GOLDx2020-08-17
- Pantera合伙人:自动调整供应量的AMPL是更好的比特币2020-08-17
- 听说CellETF豪气地发了几万块?快看看CellETF奖金高达3万元的幸运锦鲤花落2020-08-17
- 埃里克·马斯金:数字货币最终将取代传统货币2020-08-17