FINA:深度丨YFI的治理模型能解决资金安全吗？

作者：DeribitMarketResearch

翻译：Edward

DeFi如何努力平衡治理与存款安全。

摘要

在7月25日推出yVaults到8月6日之间，yearn.financial的开发者AndreCronje掌控着4000万美元的客户资金。

8月6日，在与我讨论本文早期的草稿时，他将相关的治理权交给了社区利益相关者的钱包，该钱包也控制着YFI铸币。

大多数用户并不知道，所有的治理重协议，如yearn.finance、Compound或Aave，都有或多或少的托管。

什么是yearn.finance？

yearn.finance将自己描述为一个收益率聚合器。我喜欢把它看作是一个基金，任何人都可以投资，然后一个人类经理将这些资本引导到DeFi中最高收益的机会。

自从7月中旬推出其治理代币YFI以来，yearn.finance的人气爆棚。虽然该代币因其公平的推出和广泛的分布而受到称赞，但人们普遍存在一种误解，认为用户资金是由YFI代币持有者或至少是代表他们利益的多签名钱包控制的。

BMEX与布拉格社区达成深度战略合作关系:据官方消息，目前BMEX与布拉格社区达成深度战略合作关系，旨在为合约交易者普及更多行业知识，提升区块链交易生态整体质量。 布拉格社区是一家专注于资本市场交易领域的服务机构，通过沉淀区块链知识普及、数字金融行情分析、策略指导等知识，为旗下团队给到系统化运作赋能支持。

BMEX是一家数字资产综合服务平台，致力于为用户提供安全、信赖的数字资产交易及资产管理服务。[2021/3/19 19:01:27]

实际上，治理是这样的：

YFI代币持有者可以对新提案进行投票。这些投票是非正式的--当一个提案被批准后，那么yearn.finance的开发者AndreCronje就会去实施它--相比之下，比如说Compound，提案会先实施，然后通过正式投票激活。

截至7月21日，9个社区利益相关者中有6个控制了额外的YFI代币的铸造。

一名控制者负责所有的投资决策，因此负责客户资金。

Bitget与比特币一禅学院达成深度合作:据官方消息，Bitget与比特币一禅学院达成深度合作关系，共同推动国内市场和社区共识的发展。

Bitget总部位于新加坡，是一家专注于衍生品的数字资产交易平台。Bitget去年完成由游戏公司SNK领投、安澜资本跟投的千万美金B轮融资，目前估值为10亿美金。截至目前，它在全球拥有110万多注册用户，合约交易量位居世界前五。

比特币一禅学院具备十余年金融从业经验，过往研究投资股票、基金、期货、黄金等，转战区块链行业四年，业务涵盖数字货币现货分析、期货合约策略以及投资者教育培训服务等。现开设现货衍生品培训班，帮助更多用户入门。[2021/3/9 18:29:06]

那个控制者

要了解资金托管的方式，我们需要了解Vault和策略。Vault基本上是装着投资者资金的盒子，而策略则是实施投资策略的智能合约，比如把一枚硬币借给最高收益率的货币市场。任何人都可以部署它们，但要分配人们的钱，Vault必须与特定的策略相连。

上海市将研究推动节能项目和区块链技术深度融合:上海市发改委印发上海市2020年节能减排和应对气候变化重点工作安排的通知提出，推动城市交通电动化和清洁化，挖掘节能改造潜力。开展余热资源共享模式的创新与实践，完善“互联网+余热共享”的大数据库交互平台，加强供需对接，促成一批示范性项目。研究推动节能项目和区块链技术的深度融合。（第一财经）[2020/4/30]

Vault和策略之间的这种连接是由一个名为控制器的中央智能合约实现的。截至8月6日，控制器中的治理地址是Cronje的地址：

声音 | 刘连舸：新加坡将借助科技力量将区块链与金融服务深度融合:据财经网消息，近日，中国银行全球首家创新研发基地在新加坡揭牌。中行刘连舸行长表示，新加坡基地将依托新加坡分行根植南洋八十余载金融服务优势，聚焦跨境客户投融资服务、贸易金融、跨境清算、人民币国际化等业务领域，借助集团科技力量，将区块链、大数据、人工智能等科技元素深入融合金融服务，为中国银行建设新时代全球一流银行提供源源不断的动力。[2018/11/15]

我们简单介绍一下改变Vault策略的步骤。

首先，你调用setStrategy函数。

Qtum量子链帅初：去中心化交易比起中心化的交易系统的高频、深度、流动性，差距很大:在近日的“三点钟无眠区块链”分享关于中心化交易系统，未来的发展方向的问题时，帅初表示，去中心化交易系统我研究的不多，谈几个具体的案例，最早出现的去中心化交易系统是基于mastercoin和counterparty的colorcoin对colorcoin的交易对，后面出现了基于NXT和BTS的去中心化交易系统，再后面出现了 etherdelta (基于智能合约的交易系统)，从体验上面来说，几个去中心化的交易系统的体验差不多，比起中心化的交易系统的高频、深度、流动性，差距很大。关于去中心化交易系统中订单的撮合和订单的同步，这个可以找一些这方面的开发者，咨询一下。[2018/2/22]

只有当msg.sender被设置为Controller的governor时，该函数才会执行。

改变策略首先从现有策略中提取所有资金并将其送回保险库。

下一步，你会在Vault上调用earn，它调用Controller的earn函数。

着手将资金发送到新的策略。

你可以在这里亲自检查控制器。

简而言之，控制器可以设置每个Vault的策略，也可以改变已经存在的Vault的策略。

盗窃的可能性

控制员的这种能力允许一个非常简单但强大的漏洞。在任何时候，它都可以决定将Valut连接到一个耗尽所有用户资金的策略上。该策略可以是简单的将这些资金转移到对手控制的账户中，而且用户不会有任何警告或反应期。

和通常的管理员密钥攻击载体一样，主要风险不一定是AC本身变成恶意，而是这个管理员密钥被第三方盗取。

在8月6日的快照中，目前有1.65亿美金被锁在了yearn.finance中，但大部分是在YFI相关的曲线池中，不容易受到治理攻击。4000万美元被锁定在Valut中，这笔钱暴露在所有人面前。

Cronje的反应

8月6日，我与AndreCronje讨论了本文的早期草稿，以确认我的分析是否正确。在这个讨论过程中，他决定对控制器调用setGovernance。

通过这次交易，他将Valut资金的控制权交给了社区控制的多签钱包，并将自己作为一个风险因素移除。

然而，我从未打算让Cronje放弃资金控制权。协议这样设置是有充分的理由的：等待不同时区的9个社区持有人中的6个，会给平台的运营增加大量的开销和延迟。因此：

更加难以对错误做出反应，这在一个复杂的新协议中是很常见的。

这将更难快速原型化新的Valut和策略。

在DeFi的正确投资策略每天都在变化的市场环境中，它将大规模地损害收益率。

相反，我想教育投资者，

使用yearn.finance等协议的信任假设是什么。

所有重治理的协议都是或多或少的托管关系

在DeFi现在的炒作中，人们很容易忘记，我在这里描述的漏洞--客户资金可以通过治理被抽走--在许多其他协议中也存在。

例如在Compound中，持币人的超级多数可以在任意的新逻辑中投票。虽然这个逻辑需要48h才能激活，但8亿美金不可能全部及时提现。依靠主动管理的协议很难在必要的治理权利和客户资金安全之间取得平衡。

像yearn.finance这样依靠快速适应市场情况的协议，很可能永远站在需要更多控制权而牺牲存款安全的一边。因此，用户应该不再将其视为一个非托管系统，而是将其视为一个主动管理的基金，控制人就是基金经理。

一个系统中存在的治理越多，就越有可能被捕获。未来的安全DeFi系统在设计时，应尽量减少治理杠杆的作用，才能最大限度地保证安全，最大限度地减少寻租。

标签：EARNANCNANFINAPlant2EarnMummy FinanceYearn Finance Protocolcarrotfinance

XLM热门资讯