Golden Observation丨¿Es realmente segura la custodia de fondos en yearn.finance?

Golden Finance Blockchain News, 10 de agosto  Yearn.finance, una plataforma de agregación de ingresos de DeFi, emitió el token de gobernanza YFI a mediados de julio de este año. El token fue elogiado por la comunidad por su emisión justa y amplia distribución, y yearn.finance también La popularidad se disparó. Sin embargo, al mismo tiempo, algunas personas han cuestionado la seguridad y la centralización de los fondos bajo custodia en la plataforma.

yearn.finance es una plataforma donde todos pueden invertir fondos, y los administradores ayudarán a los usuarios a guiar los fondos hacia los productos DeFi de mayor rendimiento. La forma en que funciona el gobierno de tokens de YFI esta vez es la siguiente: los poseedores de tokens de YFI pueden votar sobre nuevas propuestas, y estos votos son inicialmente informales hasta que, después de que se apruebe la propuesta, el desarrollador de yearn.finance Andre Krone Andre Cronje implementará la propuesta.

Sin embargo, todavía hay muchos malentendidos sobre el token en la comunidad, por ejemplo, la gente piensa que los fondos de los usuarios están controlados por los titulares de tokens de YFI o las billeteras de múltiples firmas que representan los intereses de los titulares de tokens de YFI. Esto se debe a que el desarrollador de yearn.finance, Andre Klanger, entregó los derechos de gobierno relevantes a 9 partes interesadas de la comunidad, que controlan la emisión de tokens YFI a través de 6 de 9 firmas múltiples, y todas las decisiones de inversión de yearn.finance son realizado por un controlador, lo que significa que el controlador "controla" todos los fondos de los clientes. Se informa que Andre Cronje controló $40 millones en fondos de clientes entre el 25 de julio y el 6 de agosto.  

Cuando se trata de la custodia de fondos, de hecho, se gestionan todos los protocolos DeFi más engorrosos, como yearn.finance, Compound y Aave. El método de custodia de fondos de yearn.finance es bastante único. En primer lugar, debemos comprender el concepto de bóvedas: una bóveda es equivalente a una caja fuerte para almacenar los fondos de los usuarios; en segundo lugar, el concepto de estrategias: las estrategias son en realidad contratos inteligentes que ejecutan inversiones de inversión, como prestar tokens con el mayor rendimiento. plataforma DeFi. Cualquiera puede implementar tesorerías y estrategias, pero si se van a distribuir los fondos de los usuarios, la tesorería debe estar conectada a una estrategia específica, y esta conexión se logra a través de un contrato inteligente centralizado llamado "controlador".

A continuación, echemos un vistazo a cómo yearn.finance ajusta la "estrategia de bóveda" al asignar los fondos de los usuarios. Primero se debe llamar a la función setStrategy, pero esta función solo se ejecutará si msg.sender se establece en el gobernador "controlador", y el cambio de estrategia debe retirar todos los fondos de la estrategia existente y enviarlos a la tesorería. A continuación, los fondos deben transferirse desde la tesorería. En este momento, se debe utilizar la función de ganancia del "controlador", para que los fondos se transfieran a la nueva estrategia. En resumen, el "controlador" puede establecer la política de conexión de cada bóveda y también puede cambiar la política de las bóvedas existentes.

Y ahora, Andre Cronje, al establecer una función, entrega el control de los fondos del tesoro a una billetera de múltiples firmas controlada por la comunidad y se excluye a sí mismo del factor de riesgo. Andre Cronje debería ser el "controlador" original en lugar de delegar el acuerdo a 6 de 9 partes interesadas en diferentes zonas horarias, lo que agregaría mucho costo y demora al permiso de la plataforma, y ​​eventualmente incluso desencadenaría una serie de otros problemas, como : respuesta más lenta a las vulnerabilidades del protocolo, que son comunes para los protocolos DeFi complejos en las primeras etapas; la creación rápida de prototipos de nuevas bóvedas y la implementación de estrategias será más difícil; es injusto para los inversores que usan estrategias, porque el entorno del mercado DeFi cambia rápidamente, lo que puede dañar los ingresos de los usuarios.

Desde este punto de vista, el "controlador" es muy poderoso, pero también es vulnerable a los ataques. Si configura una estrategia que agota todos los fondos de los usuarios y luego conecta esa estrategia a la tesorería, las consecuencias serán desastrosas. Según los datos, el volumen total bloqueado de yearn.finance alcanzó los 165 millones de dólares estadounidenses al 6 de agosto, la mayoría de los cuales son fondos de liquidez relacionados con YFI. Si bien estos tokens bloqueados no son vulnerables a los ataques de gobierno, todavía hay $ 40 millones en fondos bloqueados en la bóveda, y este dinero está expuesto a los "controladores". Aunque se cree que el propio Andre Kronje no robará los fondos de otras personas, si un tercero ataca al propio Andre Kronje, otros piratas informáticos pueden robar la clave del administrador.

Vale la pena mencionar que existen más o menos problemas de custodia de fondos para estos protocolos DeFi orientados a la gobernanza, no solo para yearn.finance. Por ejemplo, en Compound, los tenedores de tokens de gobernanza se concentran en manos de un pequeño número de entidades, y pueden votar en casi toda la lógica que les sea beneficiosa. Debe saber que no es fácil encontrar un equilibrio entre el gobierno de la red y la seguridad de los fondos. Al igual que yearn.finance, es probable que se centre en el "gobierno de la red" y al final sacrifique parte de la "seguridad del depósito". Si el sistema DeFi se vuelve más seguro en el futuro, debe considerar el apalancamiento mínimo de gobernanza al comienzo del diseño.

Parte de este artículo está recopilado de Yahoo Finance

Tags：

AVAX