编者按:本文来自金色财经,Odaily星球日报经授权转载。DeFi收益聚合平台yearn.finance在今年七月中旬发行了治理代币YFI,该代币因为发行公平且分配广泛而受到社区称赞,yearn.finance也因此人气暴涨。然而与此同时,也有人对于该平台上的托管资金安全和中心化问题产生了质疑。
yearn.finance是一个人人都可以在上面投入资金的平台,会由经理来帮助用户将资金引导到收益最高的DeFi产品中。这次发行的YFI代币治理工作方式是这样的:YFI代币持有人可以对新提案进行投票,这些投票最初是非正式的,直到提案获得批准之后,yearn.finance开发者安德烈·克朗杰才会去实施提案。不过,社区对该代币仍然存在不少误解,比如人们认为用户资金都是由YFI代币持有者或是代表YFI代币持有者利益的多重签名钱包所控制。这是因为yearn.finance的开发者安德烈·克朗杰将相关治理权交给了9个社区利益相关者,这些社区利益相关者通过6-of-9多重签名的方式控制着YFI代币增发,而且yearn.finance所有的投资决策都是由一名控制者负责,这意味着该控制者“控制”了所有客户资金。据悉,在7月25日至8月6日期间,AndreCronje控制着4000万美元的客户资金。说到资金托管,其实所有较为繁琐的DeFi协议都是托管的,比如yearn.finance、Compound、以及Aave。而yearn.finance的资金托管方式是比较独特的。首先我们要了解金库的概念:金库相当于用于存放用户资金的保险箱;其次是策略的概念:策略其实就是执行投资投资的智能合约,比如将代币借给收益率最高的DeFi平台。而任何人都可以部署金库和策略的,但是如果要分配用户资金,则必须将金库与特定策略连接,这种连接就是通过被称为“控制者”的中心化智能合约来实现的。接下来我们再来看下yearn.finance在分配用户资金时是如何调整“金库-策略”的。首先需要调用setStrategy函数,不过只有当msg.sender被设置为“控制者”治理人时,这个函数才会被执行,策略变更需要从现有策略中提取所有资金,并将其发送到金库中。接下来,需要再从金库中调出资金,此时需要使用“控制者”的earn函数,这样资金就会被转入到新策略中。简而言之,“控制者”可以设置连接每个金库的策略,也可以更改现有金库的策略。而现在,安德烈·克朗杰通过设定函数,将金库资金控制权交给了社区控制的多重签名钱包,并把自己排除在风险因素之外。安德烈·克朗杰理应是最初的“控制者”,而不是应将协议委托给不同时区中9个利益相关者中的6个,这样会给平台允许增加大量成本和延迟,最终甚至会引发一系列其他问题,比如:对协议漏洞反应会变慢,对于复杂的DeFi协议而言,早期阶段出现漏洞是很常见的;新的金库和策略实施快速原型化将更加困难;对于正确设置金库/策略的投资者而言不公平,因为DeFi市场环境变化很快,有可能会损害用户收益。由此看来,“控制者”的功能十分强大,但同时也容易遭到攻击。假如设定一个耗尽所有用户资金的策略,然后将该策略与金库连接,后果将不堪设想。有数据显示,yearn.finance的总锁仓量到8月6日为止已经达到了1.65亿美元,其中大部分是与YFI相关的流动性池。虽然这些锁仓代币不容易受到治理攻击,但仍有价值4000万美元的资金锁定在金库中,而这笔钱就暴露在“控制者”面前。虽然大家相信安德烈·克朗杰自己不会去窃取他人资金,但如果安德烈·克朗杰本人遭到第三方攻击的话,管理员密钥则有可能被其他黑客窃取。值得一提的是,对于这些偏重治理的DeFi协议来说都或多或少存在资金托管问题,而不仅仅是发生在yearn.finance身上。比如Compound,治理代币持有者集中在少数实体手上,他们几乎可以投票决定所有对自己有利的逻辑。要知道,在网络治理和资金安全之间找到平衡是一件很不容易的事情,就像yearn.finance这样,最终很可能会偏重于“网络治理”并牺牲一部分“存款安全”。如果DeFi系统想要在将来变得更加安全的话,那么在设计之初就需要考虑采用最小化的治理杠杆。本文部分内容编译自雅虎财经
DeFi收益聚合器Yearn推出NFT项目财库管理工具NFTreasury:7月7日消息,DeFi收益聚合器Yearn宣布推出NFT项目财库管理工具NFTreasury,该工具会将项目短期所需资金转换为以太坊及USDC,长期资金存放于Yearn vault中产生收益。[2022/7/7 1:56:55]
yearn.finance宣布推出yVault产品线新品yvBOOST:yearn.finance宣布推出yVault产品线的新品yvBOOST,允许用户将从yveCRV vault赚取的3Crv售出为CRV并存回该vault,增加yvBOOST的yveCRV余额。
通过该vault,用户将获得长期CRV的复利敞口,同时随着时间的推移,通过Curve Finance策略,用户将增加所有Yearn vault的收益。
官方表示,为了创造流动性,已在SushiSwap上创建了yvBOOST-ETH池。目前的yveCRV-ETH池将迁移到yvBOOST-ETH,团队将发布一个工具帮助用户进行迁移。
具体存款方案如下:- 向yveCRV存款每周获得3Crv分发;- 向yvBOOST存款每周获得CRV长期复利敞口;- 向yvBOOST-ETH池存款获得高收益;- 向yvBOOST存款并开始赚取收益。[2021/5/1 21:16:37]
慢雾:yearn攻击者利用闪电贷通过若干步骤完成获利:2021年02月05日,据慢雾区情报,知名的链上机池yearnfinance的DAI策略池遭受攻击,慢雾安全团队第一时间跟进分析,并以简讯的形式给大家分享细节,供大家参考:
1.攻击者首先从dYdX和AAVE中使用闪电贷借出大量的ETH;
2.攻击者使用从第一步借出的ETH在Compound中借出DAI和USDC;
3.攻击者将第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,这个时候由于攻击者存入流动性巨大,其实已经控制CruveDAI/USDC/USDT的大部分流动性;
4.攻击者从Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)贬值;
5.攻击者第三步将剩余的DAI充值进yearnDAI策略池中,接着调用yearnDAI策略池的earn函数,将充值的DAI以失衡的比例转入CurveDAI/USDT/USDC池中,同时yearnDAI策略池将获得一定量的3CRV代币;
6.攻击者将第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢复;
7.攻击者触发yearnDAI策略池的withdraw函数,由于yearnDAI策略池存入时用的是失衡的比例,现在使用正常的比例体现,DAI在池中的占比提升,导致同等数量的3CRV代币能取回的DAI的数量会变少。这部分少取回的代币留在了CurveDAI/USDC/USDT池中;
8.由于第三步中攻击者已经持有了CurveDAI/USDC/USDT池中大部分的流动性,导致yearnDAI策略池未能取回的DAI将大部分分给了攻击者9.重复上述3-8步骤5次,并归还闪电贷,完成获利。参考攻击交易见原文链接。[2021/2/5 18:58:47]
Yearn.Finance已部署yvWETH 0.2.0测试金库 暂不能存款:11月25日,Yearn.Finance官方发文称,已于日前部署了yvWETH 0.2.0测试金库。目前该库还未将所有策略连接起来,故当前还不能进行存款。[2020/11/25 22:03:14]
标签:EARNNANNCEFINRUNEARN币Sonne FinanceShield FinanceOrdinals Finance
Odaily星球日报译者|念银思唐 摘要: -GalaxyDigital报告称,2020年第二季度综合收益为3800万美元,而2019年第二季度为1.13亿美元.
CRVVault产品新增功能:为防止大户瞬时注资领奖稀释矿工收益,每次用户充值后,利息会在24小时内均匀释放,24小时后提取收益或提现可以获得全部收益.
中国传统信息技术已被扼住喉咙,新兴的数据科技或可弯道超车。“如果说在传统的信息技术领域,我们一直被‘卡脖子’,在以区块链技术为代表的新兴数字技术赛道上,我们完全有机会实现弯道超车.
编者按:本文来自橙皮书,Odaily星球日报经授权转载。有时候,现实比剧本更难琢磨。两年前,和crypto圈的开发者聊天,大家谈Web3、谈去中心化的新互联网、谈DID,所有这些概念看起来都棒极.
北京时间2020年08月05日,DeFi期权平台Opyn的看跌期权智能合约遭到黑客攻击,损失约37万美元.
近期胡润独角兽排行榜引发区块链行业关注,其中共有11家加密货币领域的企业上榜,其内容还是一如既往的荒谬,不愧是曾经为IPFS大局星际蜗牛站台的胡润.