火星链 火星链
Ctrl+D收藏火星链
首页 > Fil > 正文

EARN:警惕,你可能玩了假的DeFi

作者:

时间:1900/1/1 0:00:00

DeFi如何在治理与存款安全之间取得平衡?长话短说:在7月25日-8月6日这段时间,yearn.finance开发者AndreCronje控制了4000万美元的客户资金;8月6日,在与我讨论这篇文章的早期草稿时,AndreCronje将相关的治理权移交给了9名社区利益相关者,并通过6-of-9多重签名机制进行控制;大多数用户并没有意识到,所有重治理的协议,比如yearn.finance、Compound或者Aave,或多或少都存在托管资金的问题;什么是yearn.finance?

根据yearn.finance的官方描述,它是作为一个收益聚合协议,但我喜欢把它想象成一个任何人都可以参与投资的基金,然后一名投资经理将这些资本引导到DeFi领域中最高收益的机会中。自7月中旬推出治理代币YFI以来,yearn.finance的人气激增,虽然其代币因公平推出而受到称赞,但市场普遍存在一种误解,即很多人会认为资金是由YFI代币持有者,或者至少是由代表他们利益的多重签名钱包所控制的。但实际上,治理是这样运作的:YFI代币持有人可以就新提案进行投票,这些投票是非正式的,当一项提案获得批准时,yearn.finance的开发者AndreCronje就会去实施它。与此相对的Compound,是先实施提案,然后通过正式投票激活。自7月21日开始,9名YFI社区利益相关者,通过6-of-9多重签名的方式控制了额外YFI代币的铸造;有一名控制者负责所有的投资决策,因此他实际上相当于控制了客户资金;控制器

安全团队:警惕假冒大V@DesLucrece账号和钓鱼链接:据官方推特消息,CertiK监测到某钓鱼网站:https://heymint[.]cc/deslucrece,该网站曾用推特账号@DezLucrece进行推广,而该推特账号正在模仿推特大V@DesLucrece,请注意区分,并不要与该钓鱼网站互动或批准任何交易![2023/1/26 11:30:27]

为了了解资金的保管方式,我们就需要了解金库和策略。金库基本上是存放投资者资金的盒子,而策略则是执行投资策略的智能合约,例如将币借给年化收益最高的货币市场。任何人都可以部署它们,但要分配人们的钱,金库必须与特定的策略相连接。而金库与策略之间的这种连接,是由一个称为控制器的中央智能合约来实现的。截至8月6日,这个控制器的治理地址就是AndreCronje的地址:

SoFi CEO:用户在购买加密货币前需警惕其波动性:金色财经报道,在线贷款公司SoFi的首席执行官Anthony Noto表示,SoFi会警告其平台上的每个加密货币用户在购买前要警惕其波动性。Noto称:“每次有人进行买入操作时,我们都会发出警告,指出这是一种未经证实的资产,波动性很大,您可能会损失所有资金。”[2021/7/9 0:37:53]

我们将简要介绍更改一个金库策略的步骤。首先,调用setStrategy函数:

Stellar提醒用户警惕网络钓鱼:Stellar官方刚刚发推称,“请注意,SDF绝不会要求提供密钥。SDF无法重置帐户,并且永远不会发送有关用户帐户的通知。如果你收到提示上述内容的电子邮件,则表明它是网络钓鱼的一种尝试,我们目前正在调查中。”[2020/11/30 22:31:13]

只有在msg.sender设置为控制器管理者,这个函数才会执行。更改策略首先从现有策略中提取所有资金,然后将其送回到金库:

在下一步中,你会在金库中调用earn,这会调用控制器的earn函数:

Web3基金会:DOT目前还不存在,需警惕欺诈销售行为:Web3基金会发推,\"DOT目前还不存在,波卡的原生代币DOT的分配目前在技术和法律上都是不可以转让的,所以任何公开销售的DOT都不会受到Web3基金会的认可,并且可能存在欺诈行为。有关DOT的任何正式销售的信息都会在Web3基金会的网站上宣布,时间在5月上线波卡主网和网络全面去中心化之后,这个时候DOT持有者也将决定代币的发行和转账。\"[2020/4/29]

…从而将资金转入新策略。你可以在这里亲自检查控制器。简而言之,控制器可以设置每个金库的策略,也可以更改现有金库的策略。存在资金被盗的风险

声音 | 天津市局:警惕以虚拟货币、区块链等为幌子的投资理财项目:据天津日报消息,天津市局经济犯罪侦查总队副总队长刘学铸表示,如遇以投资“虚拟货币”、“区块链”等为幌子的“投资”、“理财”项目务必警惕。[2019/4/9]

控制器的这种功能,允许进行非常简单,但十分强大的攻击。在任何时候,它都可以决定将金库与耗尽所有客户资金的策略连接起来。策略可以简单到将这些资金转移到对手控制的账户上,而对于用户来说,不会有警告或反应的时间。与常规的管理密钥攻击向量一样,主要的风险不一定是AndreCronje本人变成恶意者,而是这个管理密钥被第三方所窃取。在8月6日的快照中,有1.65亿美元的资金锁定在yearn.finance中,其中大部分都锁在YFI相关的曲线池中,因此它们不易受到治理攻击,而剩余有4000万美元的资金锁定在金库中,这些钱就暴露在控制者面前。AndreCronje本人的反应

8月6日,我与AndreCronje讨论了本文的早期草稿,以确认我的分析是正确的。在讨论过程中,他决定调用控制器的setGovernance函数。

通过这个操作,他将金库资金的控制权交给了社区控制的多重签名钱包,并将他自己作为一个风险因素排除在外。但实际上,我并不是打算让AndreCronje放弃对资金的控制权。协议以这种方式建立,是有充分理由的,在不同的时区等待9位社区持有者中的6位,会给平台的运行增加大量的开销和延迟,因此,这会导致:对漏洞做出反应会变得更困难,而漏洞在复杂的初期协议中是很常见的;对于新金库和策略的原型制作,显然会变得更加困难;在DeFi快速变化的市场环境中,这将极大地损害收益率;相反,我只是想让投资者更清楚地了解,使用诸如yearn.finance这样的协议,会面临着怎样的信任假设。所有重治理的协议,或多或少都存在托管问题

在现在大肆宣传的DeFi运动中,大家很容易会忽视我在这里描述的问题:理论上可通过治理来耗尽用户的资金,而这样的问题也存在于很多其它DeFi协议中。例如,在Compound中,持有绝大部分治理代币的人,就可以投票任意的新逻辑,虽然这个逻辑需要48小时才能启动,但8亿美元的资金,不太可能及时全部收回。依赖于主动管理的协议,很难在必要的治理权限和客户资金的安全性之间取得平衡。像yearn.finance这样依赖于快速适应市场环境做法的协议,很可能永远会站在需要更多控制权的一边,而这会牺牲存款安全为代价。因此,用户应停止将其视为非托管系统,而应该将其视为主动管理的基金,其中控制者就是基金经理。在此之前,这个基金的管理者是AndreCronje,而在今天,这个基金的管理者是9名社区参与者,他们使用了6-of-9多重签名机制。而系统中存在的治理越多,那系统就越可能会被捕获。未来安全的DeFi系统,应该在设计时使用最小的治理杠杆,以便最大限度地提高安全性,并减少寻租。

标签:RECEARNNANANCHAREC价格Yearn Finance CenterCrafting FinanceXYfinance

Fil热门资讯
区块链:OK区块链60讲 | 第41集:矿圈的兴起(上)—ASIC矿机的诞生

\n哈喽大家好,我是小K君,今天我们要讲的内容是:“矿圈的兴起—ASIC矿机的诞生”。 我们上节课说了,2011年区块链技术进入中国,最初接触而且影响也最为深远的,就是挖矿这门产业.

1900/1/1 0:00:00
EFI:观点:DeFi的发展态势和创新优势

本期舟立播继续关注DeFi话题,贝宝金融创始人杨舟和王立讨论了DeFi的发展态度和创新优势。核心要点:DeFi借贷没有在创造信用,只是在保持信用;尽管目前DeFi还存在很多局限性,DeFi的未来.

1900/1/1 0:00:00
DEF:本轮牛市和上轮的异同之处,或预示着市场下一步的动向

编者按:本文来自白话区块链,作者:木沐,Odaily星球日报经授权转载。在7月下旬,白话区块链发表文章《牛市或已悄然开启,那么这次距离顶峰有多远?又会持续多久?》时,不少人还在质疑、甚至表示已经.

1900/1/1 0:00:00
ECO:Filecoin奖励测试还能再推迟?我们连官方的借口都想到了

编者按:本文来自默尔财经,Odaily星球日报经授权转载。北京时间7月31日晚,Filecoin官方在Slack社交平台表示,校准网于北京时间8月1日重启,测试网激励竞赛代码冻结,经济模型的具体.

1900/1/1 0:00:00
RAI:Reflexer Labs 创造的「稳定波动资产」RAI会是完美的抵押品吗?

编者按:本文来自链闻ChainNews,撰文:Donnager,星球日报经授权发布。由以太坊社区资深人士AmeenSoleimani联合创立的ReflexerLabs,凭借低波动性抵押基础设施项.

1900/1/1 0:00:00
ASS:矿机大厂的动荡世界

十多天来,币圈牛市氛围浓郁,暴富神话再现。与之相反,亦有神话正在陨落,可谓几家欢笑几家愁。这其中,要说最悲催的,非几家矿机大厂莫属了.

1900/1/1 0:00:00