avatar
Nick Pullman
1,013個推特粉絲
關注
Corporate attorney for investors and tech startups, including crypto/web3/NFTs. Not legal advice. Fmr: @join_royal, @CooleyLLP, @DLA_Piper, @HPE, @USC, @UCSB
動態
avatar
Nick Pullman
12-02
從 yETH 漏洞事件中我們能汲取一個重要的法律教訓:必須有意識地將極端情況和協議故障模式納入實際產品條款,並且這些條款需要隨著產品的發展以及市場規範和先例的演變而不斷更新。DeFi 架構瞬息萬變,法律框架也必須隨之調整。如果產品可能以某種特定方式失效,相關協議就應該直接針對該失效模式做出規定。 現在來說說事實。 本週 yETH 遭到攻擊。穩定交換式合約中的一個數學漏洞允許攻擊者通過單筆交易無限增發 yETH。這並非預言機操縱或閃電貸操縱,而是AMM數學模型的結構性崩潰。不變公式中缺失的除法運算使得攻擊者能夠增發 2.35e38 個 yETH,然後將這些虛假供應量兌換成資金池中所有真實的抵押品。約 1100 萬美元的 stETH、rETH、cbETH 和ETH被盜。約 1000 美元的ETH通過 Tornado Cash 被轉移。剩餘被盜的 LST 抵押品仍存放在攻擊者的錢包中。yETH 實際上已失去擔保。 Yearn 已確認此次事件,暫停了資金池,並澄清這是一個獨立的 yPool,並非 Vault V2 或 V3 的一部分。SEAL 911 和 ChainSecurity 已介入調查。此次故障模式與近期其他穩定幣池崩潰事件極為相似。一個精度或不變性錯誤就可能導致單筆交易流動性清空,且沒有任何保護措施和追索途徑。 就法律方面而言:據我所知,Yearn 並未發佈針對其 dApp 前端或 yETH 產品的傳統服務條款。我也沒有找到任何正式的用戶協議,其中規定了責任分配、用戶確認、放棄索賠、限制擔保、確定適用法律或規定爭議解決流程。Yearn 發佈的只是一個通用的風險頁面,警告用戶智能合約可能失敗,資金可能損失。這些只是高層次的風險披露,並非合同保護條款,也不具備法律效力,不能作為可強制執行的棄權或限制條款。 這種差距在早期 DeFi 領域很常見,但對於現代結構化產品而言是不可行的。而且,這種差距不僅僅存在於 Yearn 等平臺。 任何接受 yETH 作為抵押品的協議現在都面臨著次要的法律風險。如果其用戶頭寸受損,他們可能會向這些協議尋求賠償。他們是否已通過合同免除對上游協議故障的責任至關重要。如果他們的服務條款過於籠統或根本不存在,那麼僅僅因為他們距離用戶最近,他們就可能無意中成為集成鏈中損失最大的一方。 同樣的問題也適用於 DeFi 聚合器前端,它們通常提供統一的界面,卻忽略了每個集成協議的風險或故障模式。如果聚合器將用戶引導至 yETH,而用戶依賴的是聚合器的用戶體驗而非協議層面的文檔,那麼聚合器自身的服務條款(或缺乏服務條款)就顯得至關重要。這些平臺需要明確制定以下條款: • 它們能做什麼和不能做什麼 • 他們是否承擔底層協議故障的責任 • 當集成資產崩潰時,如何處理用戶索賠 • 隨著集成的變化,風險披露信息如何呈現和更新 對於建築商而言,治理負擔是實際存在的。您的文檔必須反映真實的工程風險面,以及從您集成的協議中繼承的風險。這包括: • LST、AMM、包裝器和抵押品鏈之間的依賴關係和級聯故障場景 • 破產、脫鉤、流動性不足或不可贖回事件 • 損失、漏洞、協議破產、削減和緊急授權的定義 • 如果抵押品受損,用戶索賠如何處理 • DAO、貢獻者、附屬機構和升級密鑰持有者之間如何分配責任 • 隨著產品及其集成功能的演進,條款將如何更新 這些系統不會以千篇一律的方式失效。法律框架也不應千篇一律。 對用戶而言,現實依然如故。DeFi收益伴隨著結構性風險,而且由於缺乏約束性條款或保險,一旦合約違約,經濟損失將由用戶承擔。 我正在撰寫一篇更深入的文章,探討技術根本原因、對集成協議和聚合器的法律影響,以及如何通過更有針對性的草案來控制此次事件的影響範圍。如果您想審閱或投稿,請私信聯繫我。 如果你正在開發這類產品,那麼這正是我們律所 @DayOneLaw 最為關注的問題類型。我樂於幫助團隊提前思考這些風險,以便他們能夠快速交付產品,避免日後觸及法律雷區。
SEAL
0%
-- 到底啦 --