小編提示：請注意閱讀。

來源：巴比特

原文標題：警惕！你可能玩了假的DeFi

寫在前面： DeFi領域充斥著各種新協(xié)議，如最近炒作的YFI（yearn.finance），但實際上，它并不是真正的DeFi協(xié)議。據(jù)加密貨幣研究員Hasu分析，像YFI這樣與治理相關的協(xié)議，或多或少都存在托管問題，這可能涉及到用戶資金的安全問題。因此，他建議將YFI（yearn.finance）視為一個托管型投資基金。

長話短說： 在7月25日至8月6日期間，yearn.finance的開發(fā)者AndreCronje控制了4000萬美元的客戶資金。8月6日，在討論這篇文章的早期草稿時，AndreCronje將治理代幣的權力轉交給了9名社區(qū)利益相關者，這些人使用了6-of-9多重簽名機制進行控制。但事實上，大多數(shù)用戶并不認識到，像yearn.finance、Compound或Aave這樣的重治理協(xié)議，或多或少都存在托管資金的風險。因此，有必要將這些協(xié)議視為一個托管型投資基金，而控制者就是基金經理。

什么是yearn.finance？ Yearn.finance是一個聚合收益協(xié)議。官方描述成它一個任何人都可以參與的投資基金，然后一個投資經理（或一組經理）將這些資本引導到DeFi領域中最高收益的機會中。

自7月中旬以來，yearn.finance的人氣急劇上升，雖然它的代幣因公平推出而受到贊揚，但市場上普遍存在這樣的誤解：資金由YFI代幣持有者或代表他們利益的多重簽名錢包所控制。

但實際上，治理是這樣運作的： YFI代幣持有人可以對新提案進行投票，這些投票是非正式的。當一個提案獲得批準時，yearn.finance的開發(fā)者AndreCronje就會實施它。相反，Compound是先實施提案，然后再通過正式投票激活。自7月21日起，9名YFI社區(qū)利益相關者通過6-of-9多重簽名的方式控制了額外YFI代幣的鑄造?？刂普咧回撠熕型顿Y決策，因此他實際上控制了客戶資金。控制器連接了金庫和策略：金庫是盒子，存儲投資者資金，策略是執(zhí)行投資策略的智能合約。

存在資金被盜的風險： 控制器的這種功能可以進行非常簡單但非常強大的攻擊。它可以決定將金庫與耗盡所有客戶資金的策略連接。策略可能簡單到將這些資金轉移到對手控制的賬戶上，而對于用戶來說，完全沒有警告或反應時間。

與一般的管理密鑰（adminkey）攻擊向量一樣，主要風險不一定是AndreCronje本人變成惡意者，而是該管理密鑰被第三方盜竊。

在快照中，有1.65億美元的資金鎖定在yearn.finance中，其中大部分鎖定在YFI相關的曲線池中，而4000萬美元的資金鎖定在金庫中，這些錢容易受到控制者的威脅。

AndreCronje的反應： 8月6日，作者與AndreCronje討論了這篇文章的早期草稿，并確認了分析的正確性。在討論過程中，他決定調用控制器的`setGovernance`功能。

通過這個操作，他將金庫資金的控制權交給了通過6-of-9多重簽名進行控制的社區(qū)，并將自己排除在風險之外。

但事實上，作者并不是想讓AndreCronje放棄資金控制權。協(xié)議在建立時就有這樣的原因：等待9位社區(qū)持有者中的6位反應在不同時區(qū)會增加很多開銷和延遲，并且使漏洞修復變得更加困難。在DeFi市場快速變化的環(huán)境中，這將極大地損害收益率。相反，作者想讓投資者更清楚地了解，使用像yearn.finance這樣的協(xié)議，需要承擔怎樣的信任假設。

所有重治理的協(xié)議或多或少都存在托管問題： 在宣傳DeFi運動的同時，很容易會忽略這里所描述的問題：在理論上，可以通過治理來耗盡用戶的資金，并且這種問題在很多其他DeFi協(xié)議中也存在。

例如，在Compound中，持有大部分治理代幣的人可以投票任意新邏輯。雖然這個邏輯需要48小時才能啟動，但8億美元的資金不可能及時全部收回。依賴于主動管理的協(xié)議，很難在必要的治理權限和客戶資金的安全性之間取得平衡。

像yearn.finance這樣依賴于快速適應市場環(huán)境的協(xié)議，很可能會永遠站在需要更多

熱點：NFT流行 幣圈流行