Deribit：简析 YFI 治理模型资金安全性

大多数用户并不知道，所有重治理的协议，如 yearn.finance、Compound 或 Aave，都有或多或少的托管。

原文标题：《深度丨 YFI 的治理模型能解决资金安全吗？》
撰文：Hasu
编译：加密谷 Edward

DeFi 如何努力平衡治理与存款安全。

摘要

什么是 yearn.finance？

yearn.finance 将自己描述为一个收益率聚合器。我喜欢把它看作是一个基金，任何人都可以投资，然后一个人类经理（或一组经理）将这些资本引导到 DeFi 中最高收益的机会。

自从 7 月中旬推出其治理代币 YFI 以来，yearn.finance 的人气爆棚。虽然该代币因其公平的推出和广泛的分布而受到称赞，但人们普遍存在一种误解，认为用户资金是由 YFI 代币持有者或至少是代表他们利益的多签名钱包控制的。

实际上，治理是这样的：

那个控制者

要了解资金托管的方式，我们需要了解 Vault 和策略。Vault 基本上是装着投资者资金的盒子，而策略则是实施投资策略的智能合约，比如把一枚硬币借给最高收益率的货币市场。任何人都可以部署它们，但要分配人们的钱，Vault 必须与特定的策略相连。

Vault 和策略之间的这种连接是由一个名为控制器的中央智能合约实现的。截至 8 月 6 日，控制器中的治理地址是 Cronje 的地址：

我们简单介绍一下改变 Vault 策略的步骤。

首先，你调用 setStrategy 函数。

只有当 msg.sender 被设置为 Controller 的 governor 时，该函数才会执行。

改变策略首先从现有策略中提取所有资金并将其送回保险库。

下一步，你会在 Vault 上调用 earn ，它调用 Controller 的 earn 函数。

着手将资金发送到新的策略。

你可以在这里亲自检查控制器。

简而言之，控制器可以设置每个 Vault 的策略，也可以改变已经存在的 Vault 的策略。

盗窃的可能性

控制员的这种能力允许一个非常简单但强大的漏洞。在任何时候，它都可以决定将 Valut 连接到一个耗尽所有用户资金的策略上。该策略可以是简单的将这些资金转移到对手控制的账户中，而且用户不会有任何警告或反应期。

和通常的管理员密钥攻击载体一样，主要风险不一定是 AC 本身变成恶意，而是这个管理员密钥被第三方盗取。

在 8 月 6 日的快照中，目前有 1.65 亿美金被锁在了 yearn.finance 中，但大部分是在 YFI 相关的曲线池中，不容易受到治理攻击。4000 万美元被锁定在 Valut 中，这笔钱暴露在所有人面前。

Cronje 的反应

8 月 6 日，我与 Andre Cronje 讨论了本文的早期草稿，以确认我的分析是否正确。在这个讨论过程中，他决定对控制器调用 setGovernance。

通过这次交易，他将 Valut 资金的控制权交给了社区控制的多签钱包，并将自己作为一个风险因素移除。

然而，我从未打算让 Cronje 放弃资金控制权。协议这样设置是有充分的理由的：等待不同时区的 9 个社区持有人中的 6 个，会给平台的运营增加大量的开销和延迟。因此：

相反，我想教育投资者，使用 yearn.finance 等协议的信任假设是什么。

所有重治理的协议都是或多或少的托管关系

在 DeFi 现在的炒作中，人们很容易忘记，我在这里描述的漏洞--客户资金可以通过治理被抽走--在许多其他协议中也存在。

例如在 Compound 中，持币人的超级多数可以在任意的新逻辑中投票。虽然这个逻辑需要 48h 才能激活，但 8 亿美金不可能全部及时提现。依靠主动管理的协议很难在必要的治理权利和客户资金安全之间取得平衡。

像 yearn.finance 这样依靠快速适应市场情况的协议，很可能永远站在需要更多控制权而牺牲存款安全的一边。因此，用户应该不再将其视为一个非托管系统，而是将其视为一个主动管理的基金，控制人就是基金经理。

一个系统中存在的治理越多，就越有可能被捕获。未来的安全 DeFi 系统在设计时，应尽量减少治理杠杆的作用，才能最大限度地保证安全，最大限度地减少寻租。

来源链接：insights.deribit.com

—-

编译者/作者：Deribit

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。