警惕，你可能玩了假的DeFi_EARN

DeFi如何在治理與存款安全之間取得平衡？長話短說：在7月25日-8月6日這段時間，yearn.finance開發者AndreCronje控制了4000萬美元的客戶資金；8月6日，在與我討論這篇文章的早期草稿時，AndreCronje將相關的治理權移交給了9名社區利益相關者，并通過6-of-9多重簽名機制進行控制；大多數用戶并沒有意識到，所有重治理的協議，比如yearn.finance、Compound或者Aave，或多或少都存在托管資金的問題；什么是yearn.finance？

根據yearn.finance的官方描述，它是作為一個收益聚合協議，但我喜歡把它想象成一個任何人都可以參與投資的基金，然后一名投資經理將這些資本引導到DeFi領域中最高收益的機會中。自7月中旬推出治理代幣YFI以來，yearn.finance的人氣激增，雖然其代幣因公平推出而受到稱贊，但市場普遍存在一種誤解，即很多人會認為資金是由YFI代幣持有者，或者至少是由代表他們利益的多重簽名錢包所控制的。但實際上，治理是這樣運作的：YFI代幣持有人可以就新提案進行投票，這些投票是非正式的，當一項提案獲得批準時，yearn.finance的開發者AndreCronje就會去實施它。與此相對的Compound，是先實施提案，然后通過正式投票激活。自7月21日開始，9名YFI社區利益相關者，通過6-of-9多重簽名的方式控制了額外YFI代幣的鑄造；有一名控制者負責所有的投資決策，因此他實際上相當于控制了客戶資金；控制器

CertiK：ALG代幣跌幅超過94%，需警惕風險:5月30日消息，CertiK Alert發推稱，此前曾在5月17日提醒社區ALG代幣暴跌超過99%。5月19日，新ALG代幣被創建，今天的跌幅超過94%，CertiK提醒社區警惕風險。合約創建者地址為0xb428bf8b0b42d12f8ff38786ff6e226353709223。[2022/5/31 3:51:35]

為了了解資金的保管方式，我們就需要了解金庫和策略。金庫基本上是存放投資者資金的盒子，而策略則是執行投資策略的智能合約，例如將幣借給年化收益最高的貨幣市場。任何人都可以部署它們，但要分配人們的錢，金庫必須與特定的策略相連接。而金庫與策略之間的這種連接，是由一個稱為控制器的中央智能合約來實現的。截至8月6日，這個控制器的治理地址就是AndreCronje的地址：

分析 |BTC縮量反彈 短期警惕空頭再次發力:根據Huobi交易平臺數據顯示，BTC最新成交價格 8675 美元，分析師Potter表示，如下圖BTC日線，在BTC上周五晚間快速拉高至9000美元上方，隨后又大幅暴跌至8000美元附近然后又拉回至8300美元，當日蠟燭線形成一個上下長插針陰柱形態，日線MACD也形成死叉狀態，預計BTC后面一段時間大概率處于區間弱勢整理狀態，不過當時提示過BTC日線收盤若能站穩8200美元上方，盤整蓄勢后還有繼續上沖試探前高的可能，最近這三天一直處于小幅向上反彈走勢，不足的是反彈量能持續萎縮，動能不足后續上漲持續性受限，幣價今天最高反彈接近8800美元，依然屬于量價背離的縮量上漲，并不是健康走勢。從盤面上看，日線走勢也處于上升楔形三角并沿布林帶中軌小幅拉升，同時我們注意到一條比較關鍵的均線支撐EMA12，BTC從5月初溫和放量站上EMA12截止目前一個多月時間，一直處于該均線上方震蕩上行，期間幾次向下插針刺穿該均線，不過K線實體部分均處于EMA12上方，表明該均線近一個月來對BTC走勢有一定的支撐作用，后期在未放量跌破該均線之前，這輪的上漲趨勢可能不會得到真正逆轉。目前操作上關注8800至9000美元區間壓力，短期若能再次站穩9000美元，后期的上漲空間繼續打開，若放量跌破8500，將會帶動其余主流梯隊同步調整，在未擇向突破之前，區間高拋低吸為主。[2019/6/3]

聲音 | 民生銀行西安分行：“3?15”來臨之際 警惕虛擬貨幣騙局:據華商網消息，民生銀行西安分行提醒用戶警惕“虛擬貨幣”、“區塊鏈”騙局，勿讓非法集資鉆空子。民生銀行西安分行提示用戶：1.理智看待區塊鏈，切勿盲目相信天花亂墜的承諾。2.樹立正確的投資理念。投資常伴風險，想要高收益必然要承受高風險。[2019/3/11]

我們將簡要介紹更改一個金庫策略的步驟。首先，調用setStrategy函數：

只有在msg.sender設置為控制器管理者，這個函數才會執行。更改策略首先從現有策略中提取所有資金，然后將其送回到金庫：

GateHub今日發布公告警告用戶警惕虛假安卓GateHub APP:目前尚未有官方的GateHub手機軟件。目前市面上出現一款能夠在谷歌市場下載的名叫“MIT Service”的GateHub APP，請不要使用它。[2018/3/29]

在下一步中，你會在金庫中調用earn，這會調用控制器的earn函數：

…從而將資金轉入新策略。你可以在這里親自檢查控制器。簡而言之，控制器可以設置每個金庫的策略，也可以更改現有金庫的策略。存在資金被盜的風險

交通銀行金融研究中心何飛：警惕資本市場炒作區塊鏈概念:交通銀行金融研究中心高級研究員何飛在接受人民日報采訪時表示，“區塊鏈技術還不太成熟，可應用場景比較有限，更應警惕資本市場炒作概念。”何飛說，區塊鏈熱潮的背后免不了會有一些搞噱頭想投機的公司，他們并沒有真正開展業務，只是企圖到資本市場撈一筆就走，要謹防由此出現“劣幣驅逐良幣”，導致真正想開展業務的機構退出市場，影響區塊鏈技術的應用。[2018/2/26]

控制器的這種功能，允許進行非常簡單，但十分強大的攻擊。在任何時候，它都可以決定將金庫與耗盡所有客戶資金的策略連接起來。策略可以簡單到將這些資金轉移到對手控制的賬戶上，而對于用戶來說，不會有警告或反應的時間。與常規的管理密鑰攻擊向量一樣，主要的風險不一定是AndreCronje本人變成惡意者，而是這個管理密鑰被第三方所竊取。在8月6日的快照中，有1.65億美元的資金鎖定在yearn.finance中，其中大部分都鎖在YFI相關的曲線池中，因此它們不易受到治理攻擊，而剩余有4000萬美元的資金鎖定在金庫中，這些錢就暴露在控制者面前。AndreCronje本人的反應

8月6日，我與AndreCronje討論了本文的早期草稿，以確認我的分析是正確的。在討論過程中，他決定調用控制器的setGovernance函數。

通過這個操作，他將金庫資金的控制權交給了社區控制的多重簽名錢包，并將他自己作為一個風險因素排除在外。但實際上，我并不是打算讓AndreCronje放棄對資金的控制權。協議以這種方式建立，是有充分理由的，在不同的時區等待9位社區持有者中的6位，會給平臺的運行增加大量的開銷和延遲，因此，這會導致：對漏洞做出反應會變得更困難，而漏洞在復雜的初期協議中是很常見的；對于新金庫和策略的原型制作，顯然會變得更加困難；在DeFi快速變化的市場環境中，這將極大地損害收益率；相反，我只是想讓投資者更清楚地了解，使用諸如yearn.finance這樣的協議，會面臨著怎樣的信任假設。所有重治理的協議，或多或少都存在托管問題

在現在大肆宣傳的DeFi運動中，大家很容易會忽視我在這里描述的問題：理論上可通過治理來耗盡用戶的資金，而這樣的問題也存在于很多其它DeFi協議中。例如，在Compound中，持有絕大部分治理代幣的人，就可以投票任意的新邏輯，雖然這個邏輯需要48小時才能啟動，但8億美元的資金，不太可能及時全部收回。依賴于主動管理的協議，很難在必要的治理權限和客戶資金的安全性之間取得平衡。像yearn.finance這樣依賴于快速適應市場環境做法的協議，很可能永遠會站在需要更多控制權的一邊，而這會犧牲存款安全為代價。因此，用戶應停止將其視為非托管系統，而應該將其視為主動管理的基金，其中控制者就是基金經理。在此之前，這個基金的管理者是AndreCronje，而在今天，這個基金的管理者是9名社區參與者，他們使用了6-of-9多重簽名機制。而系統中存在的治理越多，那系統就越可能會被捕獲。未來安全的DeFi系統，應該在設計時使用最小的治理杠桿，以便最大限度地提高安全性，并減少尋租。

Tags：EARNNCEANCNANWalk To EarnLanceriaMushu FinanceCitizen Finance

ETH