的机会。 Tangible 实现了指纹预言机方案来定价其 RWAs TNFT。指纹预言机使用分配给每个产品的唯一 ID(product_id =表示唯一项的字符串)。这样,Tangible 可以将每个项目映射到其供应商提供的市场价格。在铸造 TNFT 之前,为产品分配指纹,并在铸造后将 Token ID 映射到指纹。之所以选择这种解决方案,是因为它适合 Polygon 侧链的有限区块大小。 该团队声称正在与 Chainlink 和第三方审计师合作,以整合储备证明(独立验证房产所有权和支持 NFT 的适当文件)和来自 hometrack.com 的价格提供(稍后扩展为定价数据提供商的聚合)。该团队认为,该集成将在 5 月中旬完成。 目前,Tangible 受到信任来进行抵押品的价值估算。虽然 Tangible 已经表示有意将独立第三方纳入其中并减少对团队的中心依赖,但这仍有待观察。 所有权和购买证明 – 例子 Tangible 提供了支持 USDR 的 14 栋房产的清单。让我们来看看位于Gillingham的公寓的例子(请参见下方的图片)。这是支持 USDR 的房产之一。所有相关文件都可以通过 Dropbox 文件共享访问。 根据网站和链上记录上的清单,相应的 TNFT 归 USDR 财政部所有。该项目在 Polygon 上列出。它可以通过其 ID 号码(340282366920938463463374607431768211474)识别。 然而,这只是完成链上证明 USDR 财政部拥有相应 TNFT 的一部分。Tangible 还附上了八份文件用于购买证明,其中包括评估报告,证明该公寓的市场价格为 470,000 英镑(约合 580,000 美元)。此外,还有一份销售协议,提供商定的销售价格,以及一份确认该房产以 413,000 英镑(包括印花税和其他费用)购买的完成声明,还有一份房产管理协议 (PMA) 和一份保险单。 此外,文件共享包括一份成立名为 TNFT PROP 12 LTD 的 SPV 的公司注册证明书。这也可以通过检查英国的官方公司注册处进行确认。一份转让文件证实,Gillingham 的 Chatham Waters 房产已转让给了相应的 LTD(SPV)。 显然,根据 Tangible 在平台的 RE 部分上列出的每个房产提供的法律文件,Tangible 的子公司在英国成立的 SPV 已经执行了买卖合约。与 Tangible 的商业模式和 LO 陈述一致,每个 SPV 都有望获得和拥有房产的法律和实际所有权。 假设所有文件都正确,这将完成所有权的证明。根据 Tangible 的文档,法律所有权仍归 Token 发行人 Tangible 所有。然而,实际所有权则归 Token 持有者所有。这种设置类似于 Circle 的 USDC。 总之,验证房地产价格和所有权的过程相当繁琐,且不可扩展。Tangible 或 USDR 的用户必须信任该项目或针对支撑 USDR 的每个 TNFT 进行验证过程。这个过程需要改进,需要找到更好的方法来增加透明度。Tangible 提到与 Chainlink 合作,直接从独立来源提供其房地产的市场价格。然而,这还没有实施,并引发了其他问题(下一节会更详细地讨论)。 风险向量智能合约风险 该协议已经部署了 60 多个独特的智能合约(List1 和 List2),具有跨链实现和许多重要的离线组件。与 USDR 相关的智能合约已经通过三个阶段的 CyberScope 审计: 1. 初步审计(2022 年 11 月 24 日) 2. 修正阶段 1(2022 年 12 月 15 日) 3. 修正阶段 2(2023 年 1 月 17 日) [附注:CyberScope 的审计报告错误地将发布日期标注为 2022 年 1 月,而非 2023 年。团队已被通知并承认错误] 审计未发现任何重大漏洞或高风险问题。总共发现了 19 个问题(2 个中等,17 个次要和 0 个关键问题)。但是,它提出了几个建议,以改善代码或架构。以下是一些示例: 1. 管理员配置——许多合约依赖于管理员的配置,例如用于资金分配(例如债券计划,附属和激励功能)和直接状态操作。换句话说,该协议依赖于人与其合约的交互。Tangible:Deployer EOA 可以在系统内设置特权角色,从而有能力影响用户资金。 2. 小数架构——合同没有小数规范机制。这导致合同内存在过多的小数规范,创建了合约之间的不必要依赖关系,并且硬编码可能会改变的值。审计中的一个示例如下所示: 3. 合约角色架构——每个合约都包含自己的访问层。合约使用了几个角色,例如 BURNER,MINTER,CONTROLLER,TRACKER,ROUTER_POLICY 等。DEFAULT_ADMIN_ROLE 控制了一些最关键的功能,并已授予 Tangible DAO 4-of-5 多重签名。 审计员指出管理员角色与一般架构(地址、合约)之间可能存在冲突。他们建议使用多签名钱包作为额外的安全层。 在上一个点的基础上,人们普遍担心访问权限问题。我们的研究发现,几乎每个合约都有某种形式的管理员访问权限,因此,这些合约都不是不可变的。尽管大多数合约使用多重签名,但是由于存在大量合约,这也打开了潜在的攻击向量。尤其是 Tangible 的部署账户(Deployer EOA),在系统中具有巨大的权力。它是 DEFAULT_ADMIN_ROLE,可以为任意地址设置角色。虽然团队经常将管理员控制权转移给 4-of-5 的多重签名,但必须注意,新管理员必须取消 Deployer 在每个部署的合约中的管理员角色。这个手动过程增加了人为错误的风险,可能会影响到用户资金的安全。 总之,审计未发现任何严重问题。然而,尽管审计发现没有问题,当前的设置仍需要谨慎对待。Tangible 的 60 多个合约都不是不可变的,而且许多合约都依赖手动交互(管理员角色)。这些角色很难跟踪,并且没有以统一的方式实施。合约的数量和当前设置增加了额外的复杂性,本质上打开了不必要的风险向量,并容易出现人为错误。此外,这些合约容易受到受损访问权限的影响。这些问题的加剧表现在该项目没有去中心化组件(例如治理模块)和缺乏漏洞赏金计划。 链上托管风险 如上所述,Tangible 平台和 USDR 智能合约涉及一个基于角色的访问控制系统,由少数多重签名钱包拥有(由 Deployer EOA 授予)。因此,托管风险在 Tangible:Deployer 和这些签名者手中。他们基本控制整个项目,使其成为一个完全中心化的项目。 从最相关的钱包的签名者看,所有钱包都包含同样的三个 EOA。下面列出所有签名者的摘要: · Tangible Labs 多重签名(2-of-3)。该钱包控制 USDR 抵押品金库和所有 TNFT(包括房地产)的铸造: ——签名者 1(460 天 – 高活跃度;ENS 标记->tangiblelabs.eth) ——签名者 2(558 天 – 中等活跃度) ——签名者 3(428 天 – 低活跃度) Tangible DAO 多重签名(4-of-5)该钱包在大部分系统合约中拥有管理权限: ——签名者 1(460 天 – 高活跃度;ENS 标记->tangiblelabs.eth) ——签名者 2(558 天 – 中等活跃度) ——签名者 3(428 天 – 低活跃度) ——签名者 4(306 天 – 无活跃度) ——签名者 5(306 天 – 无活跃度) USDR 金库经理多重签名(2-of-5)。该钱包管理 USDRTreasury 中的资产: ——与上述钱包相同的五个签名者(Tangible DAO Msg) 前三个签名者在所有三个钱包中都是相同的。完成 4-of-5 和 2-of-5 多重签名的另外两个签名者没有活动,这表明所有多重签名可能通过三个地址控制。 另一个例子是市场费分配器。该合约用于分配 66.6% 的费用并在 Uniswap 上交换剩余的 33.3% 以购买和销毁 TNGBL。该合约由一个单一的 EOA 控制。对于 3,3+ NFTs 也是如此:Tangible:Deployer 控制其中 78%。此外,贿赂经理在所有链上都是同一个 EOA。 换句话说,Tangible 的智能合约托管的所有资产都存在高度的信任因素。一个人控制了系统中相当大的资金流动,这理应是可自动化/可调用的公共功能。USDR 金库中的抵押品也可以被 Tangible Labs 多重签名钱包访问,几乎所有的智能合约也是如此。我们的结论是,目前的托管设置存在高度的风险,高度的信任,容易出现错误。 链下(RWA)托管风险 正如先前所述,以房地产作为稳定币抵押品具有一些优点,但也存在一些风险。主要风险如下: · 链下托管——将房地产作为抵押品需要在 SPV 内信任托管法律所有权,SPV 和区块链等价物由 Tangible Custody LTD 控制。 · 合法性和监管合规性——由于缺乏监管指导,目前的设置是否符合监管要求还不清楚。这可以适用于大多数 Crypto 项目,但这种情况更为重要,因为它对现实世界产生影响,包括租户和当地社区。 · 利益冲突——同一家公司既发行 USDR 稳定币,同时控制支持该稳定币的 RWA 的进出口,可能会导致利益冲突。它还增加了单一故障点,并引发了可扩展性问题。 · 房地产评估——评估 RE 的抵押价值是一个复杂的过程。像 Hometrack 或 Zoopla 这样的网站提供的支持是一个不错的开始,但这些只是估计值。他们无法预测清算价值。此外,Hometrack 是需要付费使用的,因此限制了可访问性(每次估价的费用为 20 英镑)。而另一方面,Zoopla 则可以免费使用。 预言机风险 当看到一个例子时,与前两点相关的风险变得显而易见。使用与前一节中相同的房产,Zoopla 估计价格在 370k-390k 英镑(457k-482k 美元)之间。这是针对与上述 Gillingham 公寓类似的房产进行估价。相比之下,Tangible 将 Gillingham 房产估价为 529k 美元。相差 9-15%。这允许发行更多未在压力测试中得到完全支持的 USDR。据团队表示,他们的估值还包括 RE 储备中持有的其他资金(例如 5%的维护费用,2%的空置费用,2%的管理费用等)。尽管如此,这个例子强调了当同一个协议发行稳定币和支撑其的抵押品时出现的利益冲突。自然而然,Tangible 会有动力进行高估。 此外,有一个 TNGBL 价格反馈,限制了可以从 TNGBL 中铸造出的 USDR 数量。USDRExchanger 合约通过查询 TNGBLPriceOracle 来强制执行可以存入的 TNGBL 的 USD 价值。TNGBL 价格预言机通过多重签名交易进行更新,使用 UniV3 上的 TNGBL / DAI 池作为次要价格反馈,仅在低于团队的主要价值时才被接受。这可以通过设置在结算的 TNGBL 价格上限来防止市场操纵,但进一步凸显了系统对 Tangible 团队积极管理的依赖性。 总之,Tangible 使用自定义的 Oracle 解决方案。这使他们能够了解他们交易商品的价格。在 Curve Gauge Proposal 中还提供了一些细节:「我们目前拥有自己的房地产预言机,但正在与 Chainlink 合作进行整合,然后可以在实时链上反映第三方 Hometrack.com 的真实房产估值,这样库值和抵押比率就是最新状态,这也让我们得以赚取利润并及时铸造。」 与 Chainlink 和独立审计员的合作将是一个重大的改进。这将消除有关 Tangible 利益冲突的担忧。然而,仅使用 Hometrack 作为唯一的价格权威将可靠性的问题转移到另一个单一实体上。虽然这肯定是一种改进,但它不能保证预言机引用可靠的清算价格。 监管风险 房地产 NFT 可能被归类为证券 Token,可能需要在英国金融行为监管局(FCA)进行注册。在缺乏明确监管指南的情况下,有关该业务模式的官方法律意见书(LO)将作为令 Token 化合规的证明。我们向团队请求获得 LO 声明的访问权限,他们已经与我们分享了此文件。该文件由 Llama Risk 法律顾问审计,遵循其规定并经 Tangible 确认后,我们得到了确保其操作免于 FCA 注册的保证。 随着提供房地产 NFT 等实际财产担保证券的项目所面临的监管清晰度仍然是一个挑战,确保获得优质的法律指导至关重要。Tangible 团队目前每周征求法律建议,并表示他们将于 6 月开始拥有内部法律和合规团队。 用户应该注意,根据 Tangible 服务条款,TNFT 有限公司排除公司的损害赔偿责任,并将合约、侵权、误导或归还的金额限制在 1,000 英镑以内。 Llama Risk 的法律顾问认为,由于 Tangible 在将房地产数字化并卖给零售投资者时,作为 RWA 和链上交易之间的桥梁,一个诚实守信的商家应该确保足够的客户保护水平。这里的服务条款提供了最低限度的保护。 脱钩风险 自问世以来,USDR 一直相对稳定。唯一值得一提的脱离锚定发生在 2023 年 3 月 11/12 日的周末。就在 USDC 失去锚定的同一个周末。USDR 部分由 DAI(约 25%)支持,而 DAI 本身则主要由 USDC(约 63%)支持。Tangible 在其测量提案中描述了该事件。「在 UTC 上周六上午,DAI 储备减少,因为人们开始惊慌失措。我们预计人们会开始兑换 pDAI,而在 UTC 上周一上午,我们将需要为那些想要快速退出其位置的人创建 DAI-pDAI 的流动性池。然而,这并不是必需的,因为我们在不需要协议发行 pDAI 的情况下恢复了锚定。然而,这种风险仍然存在,并且是将稳定币以 Token 化的不动产为后盾的单一最大缺点。」 然而,关于 USDR 的稳定性,价格大多围绕着 1 美元的标准。它也很快从三月中旬的脱离锚定中恢复过来(见下图)。 以下的稳定机制用于保持 USDR 在锚定状态: · 首先,为了防止脱锚,USDR 可以兑换其支持它的 DAI。目前,约 25% 的抵押品以 DAI 计价。 · 其次,USDR 由协议拥有的流动性支持,由 USDR Curve 池组成。两个措施的结合为交易或兑换 USDR 提供了一定数量的流动性。 · 然后,Tangible 成立了一个保险基金。撰写本文时,该保险基金总额约为 1,100,000 美元(占 USDR 抵押品的 9.2%)。然而,基于 Polygon 的多重签名主要包含 20/80 USDC/TNGBL LP Token。换句话说,该保险基金主要由更多的 TNGBL 组成。 · 正如前面提到的,Tangible 还计划实施 pDAI(即承诺型 DAI)。在银行挤兑的情况下,即 Tangible 不得不出售其 RE TNFT,以让 USDR 持有者获得补偿时,就需要使用 pDAI。在这种情况下,可以兑换 pDAI,而不是 DAI。一旦足够的房地产被清算,pDAI 持有者可以将其换成真实的 DAI。 TNGBL 作为抵押品 Tangible 的目标是将其自己的 TNGBL Token 组成支持的抵押品的 5-10%,即可将其铸造成价值 1 美元的 TNGBL。这使得 USDR 成为部分的算法稳定币,并引发了市场不利情况下其可靠性的担忧。虽然 Tangible 限制了可以从 TNGBL 铸造 USDR 的数量,但它现在占总支持的 14%。 使用部分内源性抵押品类型可能会出现令人担忧和潜在不可持续的策略。例如,贿赂经理定期存入 TNGBL 以铸造 USDR 用于其激励计划。这使 Tangible 获得了类似于铸造无担保稳定币的权力,这引发了对 Mochi's USDM 的紧急行动。Tangible 可能会通过 TNGBL 铸造 USDR 并兑换成 DAI 或将其出售到其 Curve 池中获取 USDC/USDT/DAI。团队最近开始在 Warden Quest 上为其 USDR/am3CRV 池提供激励,共计 225,000 美元的存款。大部分资金来自 Binance 钱包,一些来自于由 TNGBL -> USDR -> DAI(Curve 池)的流动资金。 对于 TNGBL 在 USDRTreasury 中的存款分析显示,大部分 USDR 的铸造都是来自团队存款,主要来自于他们的贿赂钱包(用于激励增加 USDR 流动性的贿赂)和政府钱包(购买政府 Token,包括 CVX 和 VELO,以增加对 USDR 池的激励)。以下所示的金库转移包括来自这两个团队钱包的大部分存款。总的来说,在金库合约中的 1,106,514 个 TNGBL 中,有 1,023,854 个(>92%)已确认是团队存款。 这种策略允许 Tangible 通过为 USDR/am3CRV 池(以及其他流动性场所)提供激励来积极扩张,但前提是 TNGBL 的价格必须保持稳定。如果 TNGBL 的价格大幅下跌,USDR 可能会出现不足抵押的情况。如前几节所述,TNGBL 是最后一个可以兑换的金库资产,在所有 DAI 和 RE 都被兑换之后才能兑换。保险基金主要由 USDC/TNGBL Balancer 池组成,但在紧急情况下,这将大多无效。TNGBL 对 USDR 的偿债能力构成重大风险。 wUSDR USDR 可在不同的区块链上使用,这也需要考虑到汇率稳定性。为了在 Polygon 之外使用其稳定币,Tangible 创建了包装的 USDR(wUSDR)。 真实的美元可以通过 Tangible 的网站包装成 wUSDR。包装过程在 Polygon 上完成。然后,可以使用 Multichain 的路由器将其转移到 BSC、Optimism、Ethereum 和 Arbitrum。wUSDR 持有人随后可以在这些生态系统中的不同 DEX 和收益聚合器上提供流动性和农场。例如,Optimism 上的 Beefy 和 Velodrome、BSC 上的 Thena,以及 Ethereum 上的 Balancer 和 Aura。目前还未开放在 Arbitrum 上的农场。 为了与 Multichain 的路由器兼容作为「跨链资产」,wUSDR 实现了 Multichain 的扩展智能合约 Anyswapv6ERC20.sol。这在将 wUSDR 转移到上述链时创造了更好的用户体验。然而,正如我们之前关于 Multichain 的报告中所强调的,这将 wUSDR 的铸造和销毁功能授予了 Multichain 的 MPC 控制。因此,这为 USDR 和 wUSDR 增加了一个额外的依赖和风险元素。 此外,wUSDR 和 USDR 之间存在很大的差异。该 Token 的封装版本不会进行 rebase 操作,而是在租金分配发生时价格会上涨。因此,wUSDR 和 USDR 的价格存在差异(见下图)。 由于价格不断上涨,这些流动性池不是「纯稳定池」,不能被认为是有意义地促进 USDR 固定机制的贡献。相反,这增加了一个已经相当复杂的项目的复杂性。值得指出的是,wUSDR Token 持有人存在高度集中的情况。在 Polygon 之外的所有链上,几乎所有的 wUSDR Token 都被存入了上述的 DEXs(见下图)。 总之,Tangible 已经建立了几个支持 USDR 锚定的机制。他们构想了一种有前途的方法(pDAI),以确保 USDR 持有者可以随时用等值物品赎回 USDR。然而,大多数措施仍然是新的,没有经过实战考验,有些是完全中心化的(例如房地产清算)。特别是在银行挤兑的情况下,USDR 是否能够保持其固定汇率是值得质疑的。此外,该项目通过其 wUSDR Token 和多链集成引入了多个维度的额外复杂性和潜在弱点。这些因素不利于 USDR 汇率稳定的安全性。尽管如此,USDR 到目前为止已经被证明相当稳定(自 2022 年 10 月以来),并成功度过了它的第一次脱钩。 Llama 风险评估标准 1. 一个单一实体有可能欺骗其用户吗? 是的,Tangible 有可能忽视资产清算或不履行赎回义务。它还充当自己定价 RWA 的神谕。大多数协议的资金,包括其库存、保险基金和智能合约托管的抵押品,都可以通过团队控制的多重签名进行访问。此外,没有时间锁。 团队已公开身份,并且有建立 Web3 创业公司的经验,这增加了一定的可信度。然而,高度的系统复杂性以及中心化的访问控制会引起担忧。 2. 如果团队消失了,项目能否继续? 不行,团队控制着所有合约、资产和所有 RWA 的监管。如果团队消失,DAO 无法行使其 RWA 的清算权。此外,没有人可以更新合约、分配费用或访问保险库中持有的任何其他资产。因此,Tangible 监管的房地产或任何其他 RWA 不太可能被团队之外的任何人访问。 团队提到了一项计划,即与其他 RE 发行者合作,以减少对自己的 LLC 的依赖。这还有待观察。 3. 该协议是否依赖 CRV 或其他激励措施来保持其锚定? 在获得 Curve 标准后,USDR 的市值已达到 1150 万美元。USDR 也一直相对稳定。仅在 USDC 解锁期间出现了解锁,而大多数稳定币在一个周末内都会出现一些问题。USDR 很快恢复了,并保持了稳定。 然而,USDR 依赖于 Curve 池中的 POL,以提供足够的流动性,并通过协议直接最小化赎回。这可能会产生对 Curve 池激励的依赖,以避免流动性危机,这可能会成为系统面临破产风险时的拐杖。 4. 审计是否揭示了任何令人担忧的迹象? 没有,第一次审计没有发现任何严重问题。然而,迄今只有一次审计。第二次审计正在进行中,而本报告正在撰写。值得注意的是,目前没有主动赏金计划,而且 Tangible 通常还是一个年轻的项目。 有一些架构上的不一致性和过多的手动、特权功能。目前,Tangible 更像是一个公司而不是一个协议,存在人为错误或不良系统管理的可能性。鉴于系统的复杂性,仅进行一次审计并缺乏漏洞赏金计划不足以提供强有力的安全保障。 结论 Tangible 是一个非常雄心勃勃、快速发展的项目。它引入了新颖的 RWA 使用案例和一种具有内在收益和再平衡机制的创新型稳定币。关于 RWA 交易和房地产抵押品的概念是新颖且经过深思熟虑的。然而,团队所拥有的中心化控制程度存在利益冲突,因为团队既是 RE TNFT 发行方,又是基础资产的托管方。此外,该项目的实际实现还有很大的改进空间。Tangible 优先考虑增长和快速推出新功能,而不是现有基础设施的去中心化和可持续性。 智能合约访问控制、RWA 托管、治理和抵押品结构的整个设置都不足以保证安全,并需要对平台背后的实体完全信任。此外,它在技术和概念层面上都非常复杂,需要改进项目的透明度(例如 RWA 的所有权和托管、RWA 的定价、跨链 wUSDR 实现、路线图、访问权限、管理员角色和隐藏的所有者等等)。 虽然我们赞扬该项目的雄心壮志,但我们认为太过于依赖核心团队。用户完全依赖团队的诚实和负责任的管理。为了满足 Curve 规则的要求,Tangible 应该实施将其 RWA 的价格预言机和准备金证明转移到独立的审计机构和预言机提供商的计划。TNGBL 也应该被移除为抵押资产,因为它会增大 USDR 的风险。在这些变化发生之前,我们认为 Curve 不应该激励 USDR/am3CRV 池。 来源:金色财经lg...