EARN:警惕，你可能玩了假的DeFi_gamefi币种

DeFi如何在治理与存款安全之间取得平衡？长话短说：在7月25日-8月6日这段时间，yearn.finance开发者AndreCronje控制了4000万美元的客户资金；8月6日，在与我讨论这篇文章的早期草稿时，AndreCronje将相关的治理权移交给了9名社区利益相关者，并通过6-of-9多重签名机制进行控制；大多数用户并没有意识到，所有重治理的协议，比如yearn.finance、Compound或者Aave，或多或少都存在托管资金的问题；什么是yearn.finance？

根据yearn.finance的官方描述，它是作为一个收益聚合协议，但我喜欢把它想象成一个任何人都可以参与投资的基金，然后一名投资经理将这些资本引导到DeFi领域中最高收益的机会中。自7月中旬推出治理代币YFI以来，yearn.finance的人气激增，虽然其代币因公平推出而受到称赞，但市场普遍存在一种误解，即很多人会认为资金是由YFI代币持有者，或者至少是由代表他们利益的多重签名钱包所控制的。但实际上，治理是这样运作的：YFI代币持有人可以就新提案进行投票，这些投票是非正式的，当一项提案获得批准时，yearn.finance的开发者AndreCronje就会去实施它。与此相对的Compound，是先实施提案，然后通过正式投票激活。自7月21日开始，9名YFI社区利益相关者，通过6-of-9多重签名的方式控制了额外YFI代币的铸造；有一名控制者负责所有的投资决策，因此他实际上相当于控制了客户资金；控制器

Coinbase CEO：公司现持有约200万枚BTC，请警惕虚假信息:11月23日消息，Coinbase首席执行官Brian Armstrong在推特上表示：“我们的财务是公开的（我们是一家上市公司），我们持有约200万枚BTC，截止9月30日价值约399亿美元，我们需要团结起来，以负责任的方式建设这个行业，请警惕虚假信息。”

此前，币安首席执行官赵长鹏在推特上表示：“Coinbase Custody为灰度公司持有63.5万枚BTC。而4个月前Coinbase只有不到60万枚BTC。”不过，在Brian Armstrong对此作出回应后，赵长鹏已删除上述推文，并承认这个数字是错误的。

CryptoQuant.com也对此发表评论，称由于Coinbase对每笔存款都使用一次性钱包，因此没有一家链上数据提供商能够提供准确的Coinbase BTC储备。数据提供者只能识别冷钱包。希望交易所将客户资金转移到更少的钱包而不是许多一次性使用的钱包中以提高透明度。[2022/11/23 7:59:24]

为了了解资金的保管方式，我们就需要了解金库和策略。金库基本上是存放投资者资金的盒子，而策略则是执行投资策略的智能合约，例如将币借给年化收益最高的货币市场。任何人都可以部署它们，但要分配人们的钱，金库必须与特定的策略相连接。而金库与策略之间的这种连接，是由一个称为控制器的中央智能合约来实现的。截至8月6日，这个控制器的治理地址就是AndreCronje的地址：

加密钱包商ZenGo提醒警惕“前端运行机器人”恶意软件:据加密钱包制造商ZenGo称，了解被称为“前端运行机器人”(fronrunning bots)的恶意软件至关重要。这些软件监视他人的加密交易，以牺牲他人的利益来获取巨额利润。如果合约中有任何人都能获得的利润，即使是非常微小的，一些前端运行机器人也会尝试先获取利润。（CryptoNews）[2020/12/30 16:06:46]

我们将简要介绍更改一个金库策略的步骤。首先，调用setStrategy函数：

火币行情播报 | BTC持续缩量横盘，警惕画门行情:据火币行情显示，BTC日内在11380USDT一线持续横盘，行情基本没有什么波动。11400USDT一线多方受到了一定的阻力，日线级别来看，如果短时能突破前期头肩顶的颈线，会释放年内的套牢盘，因此在此位置承压也是情理之中。截至18:30，火币平台的主流币的具体表现如下。[2020/10/12]

只有在msg.sender设置为控制器管理者，这个函数才会执行。更改策略首先从现有策略中提取所有资金，然后将其送回到金库：

在下一步中，你会在金库中调用earn，这会调用控制器的earn函数：

公告 | 火币：警惕Telegram群“HT搬砖套利”局，火币中文官方社群已迁往火信:火币官方接到用户反馈，近期Telegram上“HT搬砖套利”局信息再次增多。不法分子以火币名义组建“火币Global官方搬砖套利中文群”的Telegram群进行。该局假借“搬砖套利”的说辞，诱导用户将个人ETH转入某钱包中，再从钱包转入者的收款地址，之后会按照比例给用户转假“HT”（非火币官方发行的Huobi Token）从而取用户资产。火币表示，火币从未发起过“搬砖套利”的活动。也不会以任何形式向用户索要账号密码、短信及谷歌验证码等信息。同时，目前火币官方中文Telegram群都在禁言状态，火币中文官方社群已迁往火信。请用户做好识别，谨防其他形式的手段。[2020/2/25]

动态 | 英国FCA提醒交易员警惕涉及加密业务的ATFX克隆公司:英国金融市场监管局（FCA）最近向当地投资者发出关于一家名为ATUK的克隆公司的警告，该公司假冒了金融服务集团AT Global Markets（UK）Limited（ATFX）。FCA表示，子的主要策略是性地声称自己拥有相关的操作权限。为此，ATUK试图盗用ATFX名称和其他法律信息，例如，将消费者介绍到FCA的官方网站，以使他们相信FTUK确实是经过授权的公司。

此前消息，在线外汇交易平台ATFX在其英国业务中推出四种主流加密货币的差价合约（CFD）。经纪商客户现在可以使用美元购买和出售BTC、ETH、LTC、XRP的差价合约。（Finance Magnates）[2020/2/13]

…从而将资金转入新策略。你可以在这里亲自检查控制器。简而言之，控制器可以设置每个金库的策略，也可以更改现有金库的策略。存在资金被盗的风险

控制器的这种功能，允许进行非常简单，但十分强大的攻击。在任何时候，它都可以决定将金库与耗尽所有客户资金的策略连接起来。策略可以简单到将这些资金转移到对手控制的账户上，而对于用户来说，不会有警告或反应的时间。与常规的管理密钥攻击向量一样，主要的风险不一定是AndreCronje本人变成恶意者，而是这个管理密钥被第三方所窃取。在8月6日的快照中，有1.65亿美元的资金锁定在yearn.finance中，其中大部分都锁在YFI相关的曲线池中，因此它们不易受到治理攻击，而剩余有4000万美元的资金锁定在金库中，这些钱就暴露在控制者面前。AndreCronje本人的反应

8月6日，我与AndreCronje讨论了本文的早期草稿，以确认我的分析是正确的。在讨论过程中，他决定调用控制器的setGovernance函数。

通过这个操作，他将金库资金的控制权交给了社区控制的多重签名钱包，并将他自己作为一个风险因素排除在外。但实际上，我并不是打算让AndreCronje放弃对资金的控制权。协议以这种方式建立，是有充分理由的，在不同的时区等待9位社区持有者中的6位，会给平台的运行增加大量的开销和延迟，因此，这会导致：对漏洞做出反应会变得更困难，而漏洞在复杂的初期协议中是很常见的；对于新金库和策略的原型制作，显然会变得更加困难；在DeFi快速变化的市场环境中，这将极大地损害收益率；相反，我只是想让投资者更清楚地了解，使用诸如yearn.finance这样的协议，会面临着怎样的信任假设。所有重治理的协议，或多或少都存在托管问题

在现在大肆宣传的DeFi运动中，大家很容易会忽视我在这里描述的问题：理论上可通过治理来耗尽用户的资金，而这样的问题也存在于很多其它DeFi协议中。例如，在Compound中，持有绝大部分治理代币的人，就可以投票任意的新逻辑，虽然这个逻辑需要48小时才能启动，但8亿美元的资金，不太可能及时全部收回。依赖于主动管理的协议，很难在必要的治理权限和客户资金的安全性之间取得平衡。像yearn.finance这样依赖于快速适应市场环境做法的协议，很可能永远会站在需要更多控制权的一边，而这会牺牲存款安全为代价。因此，用户应停止将其视为非托管系统，而应该将其视为主动管理的基金，其中控制者就是基金经理。在此之前，这个基金的管理者是AndreCronje，而在今天，这个基金的管理者是9名社区参与者，他们使用了6-of-9多重签名机制。而系统中存在的治理越多，那系统就越可能会被捕获。未来安全的DeFi系统，应该在设计时使用最小的治理杠杆，以便最大限度地提高安全性，并减少寻租。

标签：DEFIEFINCEEARNTRD-DeFigamefi币种Cabinz FinanceYearn Income

狗狗币热门资讯