以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

警惕 !你可能玩了假的DeFi_區塊鏈

Author:

Time:1900/1/1 0:00:00

寫在前面:

DeFi領域目前充斥著各式各樣的新協議,例如最近爆火的YFI就是其中之一,但本質上,它并不是真正的DeFi協議,據加密貨幣研究員Hasu分析表明,類似YFI這樣重治理的協議,或多或少都存在托管問題,而這就會涉及到用戶資金的安全問題,因此他建議參與者將YFI視為一個托管型投資基金。

原文作者:Hasu

DeFi如何在治理與存款安全之間取得平衡?

長話短說:

在7月25日-8月6日這段時間,yearn.finance開發者AndreCronje控制了4000萬美元的客戶資金;

8月6日,在與我討論這篇文章的早期草稿時,AndreCronje將相關的治理權移交給了9名社區利益相關者,并通過6-of-9多重簽名機制進行控制;

火幣發用戶風險提示:警惕虛假釣魚網站:近日,有用戶向火幣反映,其點擊釣魚鏈接進入假冒火幣網站,提交個人賬號密碼及系列驗證信息,導致個人資產損失。

經查,該用戶在假冒的火幣網站釣魚鏈接中先后填寫了個人賬號、密碼及重要驗證信息,使得釣魚攻擊者掌握敏感賬戶信息,進而導致賬戶資產被惡意交易對敲。該過程中,火幣已多次對用戶進行安全提醒,并給用戶發布異地登錄提示短信。

火幣再次提醒大家,火幣官方不會以任何形式向用戶索要賬號密碼、短信及谷歌驗證碼等信息。請用戶一定認清火幣官網地址,警惕虛假釣魚網站。火幣全球站現已上線官方驗證通道,供用戶辨別確認是否為官方渠道。詳情見原文鏈接。[2020/12/7 14:24:31]

大多數用戶并沒有意識到,所有重治理的協議,比如yearn.finance、Compound或者Aave,或多或少都存在托管資金的問題;

什么是yearn.finance?

煙臺網警巡查執法官方發文 警惕“區塊鏈騙局”等新興詐騙:4月26日,煙臺網警巡查執法官方發布文章提醒警惕新型詐騙手段。文章稱,如同病進化一樣,網絡詐騙也在不斷升級換代。傳統的以炒外匯、黃金為噱頭的投資詐騙正演變為“區塊鏈騙局”,借助區塊鏈的熱度,新瓶裝舊酒,對受害人實施詐騙。煙臺網警巡查執法官方列舉出如“一區塊鏈應用場景落地,XX幣躺著賺大錢”等網絡詐騙新變種,以此提醒稱“如果有人這樣說,你千萬別相信”。[2020/4/26]

根據yearn.finance的官方描述,它是作為一個收益聚合協議,但我喜歡把它想象成一個任何人都可以參與投資的基金,然后一名投資經理將這些資本引導到DeFi領域中最高收益的機會中。

自7月中旬推出治理代幣YFI以來,yearn.finance的人氣激增,雖然其代幣因公平推出而受到稱贊,但市場普遍存在一種誤解,即很多人會認為資金是由YFI代幣持有者,或者至少是由代表他們利益的多重簽名錢包所控制的。

聲音 | 肖磊:警惕美國先于中國抓住區塊鏈的核心部分:10月31日消息,財經專欄作家肖磊撰文指出 ,對于政府來說,在區塊鏈層面,到底應該抓什么,應該主導什么是需要深思熟慮的。區塊鏈技術最大的特點是國際屬性,如果其他國家,尤其是美國,跟我們所重視的方向不同,就應該引起我們的思考和注意。

美國在區塊鏈技術的發展層面,抓大放小,直擊要害。那什么是要害呢?一個是對區塊鏈資產的定價權,另一個是終端支付。如果中國不能做到兩手抓,一手主導實體經濟對區塊鏈的接受和再利用,另一手迅速建立爭奪區塊鏈資產定價交易的市場,那么區塊鏈技術的發展,很有可能在中國會出現嚴重的資源浪費。[2019/10/31]

但實際上,治理是這樣運作的:

YFI代幣持有人可以就新提案進行投票,這些投票是非正式的,當一項提案獲得批準時,yearn.finance的開發者AndreCronje就會去實施它。與此相對的Compound,是先實施提案,然后通過正式投票激活。

動態 | 交易所警惕 ERC20 Token 假充值漏洞:據慢霧區塊鏈威脅情報系統(BTI)捕獲,近期以太坊鏈上發現大量利用 ERC20 Token 假充值漏洞攻擊數字貨幣交易所及錢包的行為,其中包含幾個知名 ERC20 Token,慢霧安全團隊提醒廣大交易所及錢包注意自查平臺內上線的 ERC20 幣種是否存在假充值漏洞。漏洞原理及修復方案可查看慢霧安全團隊 2018 年 7 月披露的漏洞分析文章。[2019/8/20]

自7月21日開始,9名YFI社區利益相關者,通過6-of-9多重簽名的方式控制了額外YFI代幣的鑄造;

有一名控制者負責所有的投資決策,因此他實際上相當于控制了客戶資金;

控制器

為了了解資金的保管方式,我們就需要了解金庫和策略。金庫基本上是存放投資者資金的盒子,而策略則是執行投資策略的智能合約,例如將幣借給年化收益最高的貨幣市場。任何人都可以部署它們,但要分配人們的錢,金庫必須與特定的策略相連接。

動態 | MEET.ONE:社區需警惕REX釣魚網站:據MEET.ONE消息,一個名為rexexchanger的合約賬戶發起批量誘導轉賬,并在MEMO中試圖引導用戶進入一個REX釣魚網站,以騙取用戶私鑰。該合約利用區塊鏈瀏覽器解析的規則, 偽裝成eosio帳號發出REX,試圖欺騙用戶。若用戶有REX購買需求,可以通過“MEET.ONE錢包-發現-REX 交易”進行購買以及總覽當前全網 REX 交易情況。[2019/5/11]

而金庫與策略之間的這種連接,是由一個稱為控制器的中央智能合約來實現的。截至8月6日,這個控制器的治理地址就是AndreCronje的地址:

我們將簡要介紹更改一個金庫策略的步驟。

首先,調用setStrategy函數:

只有在msg.sender設置為控制器管理者,這個函數才會執行。

更改策略首先從現有策略中提取所有資金,然后將其送回到金庫:

在下一步中,你會在金庫中調用earn,這會調用控制器的earn函數:

…從而將資金轉入新策略。

你可以在這里親自檢查控制器。

簡而言之,控制器可以設置每個金庫的策略,也可以更改現有金庫的策略。

存在資金被盜的風險

控制器的這種功能,允許進行非常簡單,但十分強大的攻擊。在任何時候,它都可以決定將金庫與耗盡所有客戶資金的策略連接起來。策略可以簡單到將這些資金轉移到對手控制的賬戶上,而對于用戶來說,不會有警告或反應的時間。

與常規的管理密鑰攻擊向量一樣,主要的風險不一定是AndreCronje本人變成惡意者,而是這個管理密鑰被第三方所竊取。

在8月6日的快照中,有1.65億美元的資金鎖定在yearn.finance中,其中大部分都鎖在YFI相關的曲線池中,因此它們不易受到治理攻擊,而剩余有4000萬美元的資金鎖定在金庫中,這些錢就暴露在控制者面前。

AndreCronje本人的反應

8月6日,我與AndreCronje討論了本文的早期草稿,以確認我的分析是正確的。在討論過程中,他決定調用控制器的setGovernance函數。

通過這個操作,他將金庫資金的控制權交給了社區控制的多重簽名錢包,并將他自己作為一個風險因素排除在外。

但實際上,我并不是打算讓AndreCronje放棄對資金的控制權。協議以這種方式建立,是有充分理由的,在不同的時區等待9位社區持有者中的6位,會給平臺的運行增加大量的開銷和延遲,因此,這會導致:

對漏洞做出反應會變得更困難,而漏洞在復雜的初期協議中是很常見的;

對于新金庫和策略的原型制作,顯然會變得更加困難;

在DeFi快速變化的市場環境中,這將極大地損害收益率;

相反,我只是想讓投資者更清楚地了解,使用諸如yearn.finance這樣的協議,會面臨著怎樣的信任假設。

所有重治理的協議,或多或少都存在托管問題

在現在大肆宣傳的DeFi運動中,大家很容易會忽視我在這里描述的問題:理論上可通過治理來耗盡用戶的資金,而這樣的問題也存在于很多其它DeFi協議中。

例如,在Compound中,持有絕大部分治理代幣的人,就可以投票任意的新邏輯,雖然這個邏輯需要48小時才能啟動,但8億美元的資金,不太可能及時全部收回。依賴于主動管理的協議,很難在必要的治理權限和客戶資金的安全性之間取得平衡。

像yearn.finance這樣依賴于快速適應市場環境做法的協議,很可能永遠會站在需要更多控制權的一邊,而這會犧牲存款安全為代價。因此,用戶應停止將其視為非托管系統,而應該將其視為主動管理的基金,其中控制者就是基金經理。在此之前,這個基金的管理者是AndreCronje,而在今天,這個基金的管理者是9名社區參與者,他們使用了6-of-9多重簽名機制。

而系統中存在的治理越多,那系統就越可能會被捕獲。未來安全的DeFi系統,應該在設計時使用最小的治理杠桿,以便最大限度地提高安全性,并減少尋租。

Tags:區塊鏈EARNANCNAN區塊鏈幣圈幣種知識大全Heco YearnFinanceBANCAGroovy Finance

歐易okex官網
CFTC主席:對DeFi非常感興趣,未來大部分金融系統可能以區塊鏈的形式存在_CFT

美國商品期貨交易委員會主席HeathTarbert認為,未來的金融系統可能大部分都是以區塊鏈的形式存在.

1900/1/1 0:00:00
巴比特專欄 | 數字貨幣具有穩定的避險性嗎?_比特幣

摘要:近年來,以比特幣為代表的數字貨幣快速發展引發了金融業界和學界的廣泛關注及討論,比特幣的算法信任、去中心化、匿名交易、全網交易、總量有限等特點使其具備潛在的避險能力.

1900/1/1 0:00:00
Filecoin獎勵測試還可能再推遲?我們連官方的借口都想到了_FIL

北京時間7月31日晚,Filecoin官方在Slack社交平臺表示,校準網于北京時間8月1日重啟,測試網激勵競賽代碼凍結,經濟模型的具體參數在主網上線前會持續調整和優化.

1900/1/1 0:00:00
CFTC主席講比特幣:權力的游戲與暗度陳倉_CFT

今天的題目有點大,今天的主題思想卻很小,就是對一個人的言論挖一下背后的邏輯和目的,秉承“大處著眼,小處下手”的理念.

1900/1/1 0:00:00
DeFi流動性挖礦已成大戶包場?_EFI

轉自:加密谷 作者?|StefanGrasmann一直以來,人們都承諾DeFi應該"為無銀行賬戶的人提供銀行服務",幫助發展中國家建立開放的金融體系.

1900/1/1 0:00:00
比特幣破萬,我們距離牛市還有多遠?_比特幣

比特幣上次破萬是在6月,剛摸到1萬的尾巴就掉了下來。這次,比特幣兩天之內接連突破1萬美元、1.1萬美元,市場情緒終于從遲疑變為大膽地歡呼雀躍,順便喜提一個微博熱搜第十.

1900/1/1 0:00:00
ads