作者:cryptorisks Llamarisk
概要
此报告将调查由 Tangible 发行的 USDR 稳定币所带来的风险。该团队于 2023 年 3 月提交了一个提案,旨在将 CRV 激励添加到 Polygon 上的 USDR/am3CRV 池中。该提案于 2023 年 3 月 30 日成功通过了 DAO 投票。
· Tangible 正在建立一个真实世界资产(RWA)的入口和交易平台。实物如金条、手表或房地产(RE)被 Token 化(即铸造),成为有形的 NFT(TNFTs)。
· 该协议提供了一个发行和交易 TNFTs 的市场。该项目背后的法律实体(Tangible Labs)促进这些商品的真实世界购买和托管。它与不同司法管辖区的多个服务提供商(供应商、托管)合作。然而,它的大部分业务都集中在英国。
· 在房地产的情况下,Tangible 创建 SPV 来收购和管理房产。这些是专门为此目的成立的法律实体。他们已经在英国列出了超过 14 个属性。
· 该协议的 Token TNGBL 用于激励使用 Tangible 的产品,为锁定 Token 的人提供收入份额。作为回报,质押者将获得所谓的 3,3+ NFT,代表他们的位置。TNGBL 目前不是治理 Token(但可能会成为治理 Token)。
· Tangible 还发行了一种稳定币——Real USD(USDR)。它以美元为锚定,以 RE TNFTs、DAI 和 TNGBL(其原生 Token)进行超额抵押。USDR 带有内在收益,由 RE TNFTs 生成,通过每日调整向其持有者转移。目前,收益率约为 8%,通过 TNGBL 空投补贴额外的 10%。
· 稳定币是原生发行在 Polygon 上的,目前有 176 个持有人。USDR 不是一个无信任或去中心化的稳定币。它依赖于该协议自己的 RWA 入口服务和团队的管理。
· 由于其由 RWA 抵押物支持,USDR 依赖于中心化的流程(RE 入口)和真实世界的托管。它还应用了混合算法稳定币的元素(自动抵押品管理和 TNGBL 作为抵押品)。
· 使用 RE 作为抵押品有一些好处,但也存在风险。尽管它的收益率和价格稳定性非常有吸引力,但其估值和清算可能会成为问题。当前的设置也可能导致利益冲突,因为 Tangible 是支撑其稳定币的抵押品的唯一发行者。
该项目颇具野心,涵盖了 DeFi 和 RWA Token 化的多个方面,以创造一种新颖的解决方案。然而,在技术层面上,它似乎相当复杂,引入了许多中心化组件和潜在的单点故障。该协议及其稳定性策略还没有经过「战斗考验」,完全依赖于创始团队。托管和管理仍然集中在链上和链下,支撑抵押品的大部分是不流动的(RWA)或内生的(TNGBL),产品的监管状态不明确,因此,Tangible 对用户来说具有特别高的风险。
引言
Tangible 是一个 Token 化资产市场、稳定币发行者,以及用于现实世界资产(RWAs)的进出口服务。Tangible 的市场使 Token 化实物(如葡萄酒、房地产、手表或金条)的初次购买和二级交易成为可能。在 Tangible 购买商品时,买家会以 TNFT 的形式收到产品,即有形的 NFT,该 Token 在购买时被铸造。这些 TNFT 代表了实物的所有权。
实物可以通过 Tangible 的合作供应商之一获得,并储存在他们的存储设施中。每种产品类型需要单独的存储设施。TNFT 的所有者需要支付存储费用。例如,金条的存储费用为 1% 每年。
在赎回时,Tangible 与物流公司合作,确保实物的安全运输。运输费用必须由赎回 TNFT 的人支付,并根据实际情况计算。
总之,Tangible 允许将现实世界资产转换为 TNFT,可以用于赎回实物。他们的文档提供了一个过程概述,以解释它的工作原理(见下图)。
1. 用户在 Tangible 的市场上购买商品。智能合约处理商品价格和相关的存储费用。
2. TNFT 被铸造并发送到用户的钱包中。
3. 同时,Tangible 通过其合作供应商完成了实物商品的购买。
4. 购买的商品被运到 Tangible 的保险库中存储。
除了通过初级商店铸造新的 TNFT 之外,Tangible 还建立了一个二级市场,促进现有 TNFT 的交易。在这种情况下,买家发送 USDR,换取 TNFT 转移到他们的钱包中。Tangible 每笔交易收取 2.5% 的市场费用。其中 33.3% 用于购买和销毁 TNGBL,其余的 66.6% 分配给 TNGBL 持有者(3,3+ NFT 持有者)。
然而,对于需要立即获得流动性的卖家来说,二级市场销售可能会成为一个问题。当前的系统要求用户等待买家愿意为商品支付价格。该团队正在研究一个解决方案,以实现更快的清算(尚未上线)。
产品类别
平台上有四个 Token 化产品类别,包括黄金、葡萄酒、手表和房地产。对于每个类别,Tangible 与以下国际供应商合作:
对于黄金条的交易和存储,Tangible 使用瑞士 PX Precinox 的服务。对于葡萄酒,他们与总部位于伦敦的波尔多指数合作,对于手表,他们与总部位于英国的 BQ Watches 合作。
在房地产方面,Tangible 创建了原生的特殊用途实体(SPV)。这些是为每个房产设立的法律实体。SPV 通过寻找租户、收集租金或管理维修来管理房产。所有房产都被出租,租金收益以 USDC 的形式支付给 TNFT 持有人。
每个位于英国的房产都有自己的英国 SPV。这是因为房地产不能直接进行 Token 化。但是,法律实体可以。房地产 TNFT 持有人对 SPV 享有有益的所有权,这使他们对该房地产的所有权有了有益的所有权。但是,两者的法定所有权仍由 Tangible 的法定实体(即注册于英国的 BTS TNFT 有限公司。Tangible 还在英属维尔京群岛注册了同名实体)拥有。
碎片化 TNFT
Tangible Fractions 是一个完整 TNFT 的碎片。这使得大额项目(例如房地产)可以分成更实惠的部分。这样,多个所有者可以共享投资的风险和收益。为了创建碎片化的 TNFT,完整的 TNFT 被锁定到智能合约保险库中,然后被拆分成几个碎片化 TNFT。只有收集所有单个碎片才能赎回原始 TNFT。
TNGBL Token
Tangible 的 Token TNGBL 有三个主要功能:作为奖励 Token(激励使用市场并补贴 USDR 收益),具有分成机制(激励锁定 TNGBL),最后,它作为 USDR 的支持(即可用于铸造 USDR)。到目前为止,它没有任何治理权利。
TNGBL 的最大供应量被限制为 33M。初始分配计划承诺将多数分配给 DAO 和社区(70.8%)。其余部分主要保留给团队、投资者、顾问和 Tangible Labs。另有 1.25% 在 2022 年 4 月通过 PeakDeFi 的 IDO 出售。但是,没有分配时间表或任何有关「DAO 份额」如何进入流通的信息。
尽管官方上限为 33M,但理论上可以铸造更多的 TNGBL。通过 GoPlusLabs 对 Token 合约的评估表明:
· 更改余额——合约所有者有权修改其他地址的 Token 余额,这可能导致资产损失。
· 铸造功能——合约可能包含额外的发行功能,可以生成更多 Token。
· 所有者身份未知——Token 使用基于角色的访问控制,追踪各种角色的转移可能很困难。
如上所述,TNGBL 持有者可以通过锁定他们的 Token 来获得平台收入的一部分份额。锁定期越长,奖励乘数就越高。乘数奖励使质押者获得额外的 TNGBL。当锁定 TNGBL 时,用户会收到一个所谓的 3,3+ NFT,代表锁定的位置,最长的锁定期为四年。然而,与其他成熟的 veTokenomic 设计不同,Tangible 的 3,3+ NFT 不授予锁定者任何治理权或对奖励计量表的影响。
Tangible 还建立了一个 3,3+ NFT 的市场,允许用户提前退出,无需解锁 TNGBL。33.3% 的市场费用用于回购和销毁 TNGBL。剩余的 66.6% 可以由 3,3+ NFT 持有者索取。奖励以 USDR 发放,取决于锁定的 TNGBL 数量和乘数。3,3+ NFT 也作为平台早期用户的奖励发放。例如,通过购买金条并铸造金色 TNFT,用户可以获得一个 3,3+ NFT 作为奖励。这种激励措施已不再生效。
撰写本文时,99% 的 TNGBL 供应量由 Polygon 的前五个地址持有。最大的持有者是 PassiveIncomeNFT 合约。它持有所有 TNGBL 的 81.7%。这意味着绝大多数的流通供应被锁定在 3,3+ NFT 中。目前有 7,401 个地址持有这些 3,3+被动收入(PI)NFT。其中最大的是 Tangible:Deployer EOA,占 10%。因为该地址铸造并分发了 NFT 给 IDO 参与者。
Real USD(USDR)
USDR 是一个原生可重定向、可产生收益、过度抵押的稳定币,与美元挂钩。USDR 发行在 Polygon 上,目前有 186 个持有人。Tangible 发行的稳定币由 ERC-20 Token、LP Token 和 Token 化的房地产 TNFT 组合支持。使用房地产 TNFT 作为抵押品可以实现两个新颖的特性:
1. 内在收益——根据 Tangible 公司的说法,他们的房产每年的租金收益率为 8% 到 10%。该收益以每日重新平衡的形式支付给 USDR 持有人(即钱包中的 USDR 数量会自动增加)。为了增加早期用户的收益,Tangible 目前通过每日空投 TNGBL 来资助 USDR,从而将收益率增加约 10%。
2. 接触新的资产类别——稳定币通常由高波动性的 Crypto 资产或其他稳定币支持。而房地产具有相对较低的波动性和持续增值的长期记录。换句话说,支持 USDR 的抵押品价值应该稳步增长。
这些 TNFT 的缺点是与房地产市场相关的相对不流动性。与货币或证券不同,房地产无法在几分钟内售出。此外,房地产仍然可能贬值。因此,需要一个良好的清算机制,并采取预防措施以保持 USDR 的超额抵押。Tangible 有一些方法来保持抵押比率(CR)超过 100%:
· 如果 USDR 的 CR 降至 100%以下,则房租收益的一半将被保留在 USDR 抵押品金库中。因此,每日重新平衡将减少 50%。换句话说,直到 CR 回到 100%之前,USDR 持有人将赚取较少的利息。
· 支持 USDR 的金库始终持有多样化的流动资产组合,以进行快速清算(例如 DAI、协议所有的流动性和 TNGBL)。
· 如果所有的 DAI 和其他储备金都被耗尽,房地产 TNFT 将被清算。在这种情况下,用户将获得 pDAI 而不是真实的 DAI。pDAI 是一种 IOU Token,表示对真实 DAI 的索赔,一旦执行清算后,就可以兑现。
· RE 收益的好处是它不太相关于资产的价格波动性。即使房产价值下降,租金在短期到中期内也不会改变。
铸造 USDR
USDR 可以使用 TNGBL 或 DAI 以 1:1 的比率铸造。要访问铸造功能,用户可以访问 Tangible 的网站。USDR 合约部署在 Polygon 上,并基于 Open Zeppelin 智能合约。
当铸造 USDR 时,DAI 或 TNGBL 被发送到 USDRTreasury 保险库,作为支持 USDR 的抵押品。然而,使用 TNGBL 铸造 USDR 的数量是有限制的。根据文档,这不能超过铸造的总 USDR 量的 10%,减去赎回的 USDR 量。这减少了与 TNGBL 波动性相关的风险并防止潜在的死亡螺旋事件。
Tangible 还计划从系统收益中铸造 USDR。当 USDR 保险库中的资产超过 100% 的抵押率时,这种情况就会发生。在这种情况下,系统会使用收益通过铸造新的 USDR 购买更多的房地产 TNFT。例如,如果 TNGBL 的价格上涨,就会针对这种升值铸造新的 USDR 并用于购买 TNFT。这有助于将抵押品从 TNGBL 转移至收益产生的房地产。
该团队还表示有意在未来完全自动化这个过程。虽然该过程表明了最大化资本效率的意愿,但该团队留下了一个抵押品缓冲区以降低风险(稍后详述)。
赎回 USDR
USDR 随时可以 1:1 兑换成 DAI。使用赎回功能将产生 0.25% 的费用。根据 Tangible 的说法,这个费用是可配置的,并将略高于 Curve 的费用,因此鼓励交换而不是赎回。
如果保险库中的所有 DAI 都被赎回,希望赎回 USDR 的用户将收到 pDAI(承诺的 DAI)-一种合成的 IOU Token,代表对真正的 DAI 的索赔。然后,保险库将开始其 TNFT 的清算过程。用户将能够将 pDAI 1:1 交换成 DAI,一旦房地产 TNFT 以更多的 DAI 售出。
在所有房地产被清算后,用户最终可以赎回 TNGBL。作为 100% 赎回需求的预防措施,有一个由多元化保险库组成的保险基金,确保 1 USDR 始终可以兑换 1 美元的价值 DAI。
Tangible 还计划利用协议拥有的流动性(POL)。该协议目前拥有 Curve 元池(USDR-am3CRV)的大部分份额。因此,设置高于 Curve 交换费用的赎回费用是有意义的,因为这样可以激励用户使用 Curve 元池交换 USDR,而不是将保险库清空。
总的来说,USDR 的赎回数量受其财库中 DAI 的数量(以及间接受 Curve 池中其他稳定币的数量)的限制。但是,这仅适用于即时赎回。愿意等待的用户可以依赖 TNFT 清算机制,获得 pDAI 而非 DAI。
USDR 抵押品结构
如上所述,USDR 由不同类型的抵押物品支持。目前有五个类别,每个类别都有灵活的份额结构。
根据它们的文档,抵押品结构如下图所示:
实际的抵押结构目前与上述目标相差很大。
下图显示了当前的抵押结构。房地产份额仅为 43.24%,这部分需要更多增长才能达到 50-80%。另一方面,TNGBL 的份额超过 15%,这与拟定分配的增加了 5%的差异。根据团队的说法,这是由于 TNGBL 最近的价格升值。
[附注:图中报告的份额对应于未偿还的 USDR(21.1M 美元)。与整体抵押品价格(24.1M 美元)相比,房地产仅占 37.8%]。
支持系统可以在以下地址进行验证:
· USDRTreasury——包含 DAI,TNGBL,RE NFT 和 USDR。USDR 是根据收益铸造并临时存储,直到新的房地产在市场上上市。然后将其转换为房地产。
· LiquidityManager——包含 cvxUSDR3CRV-f,USDR / am3CRV Curve LPs 的 Convex 股份。
· Insurance Fund-Polygon——Polygon 上的保险基金
· Insurance Fund-Optimism——Optimism 上的保险基金
· Insurance Fund-Ethereum——Ethereum 上的保险基金
大部分保险基金储备在 Polygon 上。资产包括 USDC20 / TNGBL80 balancer LP,锁定的 USDC / TETU LP,锁定的 CVX,USDC,锁定的 VELO 和 OP。尽管保险基金旨在保护用户免受 TNGBL 死亡螺旋的影响(即确保用户在 100%赎回需求的情况下得到充分赔偿),但几乎一半的保险基金价值来自 TNGBL。约 420,000 美元的价值是锁定资产,只有约 27,000 美元是流动的和外部的(不暴露于 TNGBL)。
值得注意的是,协议拥有的流动性所占比例相当大。拥有协议的流动性对于增加流动性、为金库创造收入流和提供交换 USDR 的另一个途径(除了赎回)具有利益。然而,建议将协议拥有的流动性与用户铸造的抵押品(例如 DAI 或 TNFT)区分开来。通过自动 POL 策略铸造的 USDR 更类似于可用储备而不是流通供应。储备依赖于曲线池中的 LP 为对手方资产提供资金,过度依赖 POL 策略表明核心产品的有机需求较低。Tangible 目前拥有 Curve 池的约 42%,表明提供流动性的有机需求相对较低(尽管新的 Curve 测量器很可能吸引更多的外部 LP)。
Token化房地产作为抵押品
房地产是 USDR 的主要抵押品类型。正如之前提到的,使用房地产有几个优点。它本身就带有收益,价格波动性低,收益不受价格影响,并且有强大的升值历史。
Tangible 计划将房地产作为主要抵押品,USDR 的 80%将由房地产支持。这引出了一些关键问题:
· 如何定义房地产的真实价值(市场价)?
· 采用何种方法对房地产进行估价?
· 考虑到以房地产作为主要抵押品所带来的风险,100%的 CR 是否是 USDR 的最佳参数?
· USDR 是否应该拥有内置的风险管理和清算系统?
· 房地产的流入和清算过程有多可信?
· 监管情况对 Token 化房地产有何影响?
这篇文章无法回答所有这些问题。然而,显然使用房地产作为抵押品存在某些缺点。首先,它会使抵押品价值的计算变得复杂。确定这些房地产的真实价值并不是一件轻松的事情。一些网站提供估计市场价格的服务。例如,zoopla.co.uk 是其中之一。Tangible 建议使用 hometrack.com 查找房价。然而,这些只是估算,因为真实价格只有在房地产出售后才能确定。
第二个障碍是验证 TNFT 是否代表承诺的 SPV,以及 SPV 是否拥有该房产。在没有实际购买房屋的情况下,铸造 TNFT 并不重要。因此,Tangible 提供了访问每个财产(示例财产)的所有官方文件的机会。
Tangible 实现了指纹预言机方案来定价其 RWAs TNFT。指纹预言机使用分配给每个产品的唯一 ID(product_id =表示唯一项的字符串)。这样,Tangible 可以将每个项目映射到其供应商提供的市场价格。在铸造 TNFT 之前,为产品分配指纹,并在铸造后将 Token ID 映射到指纹。之所以选择这种解决方案,是因为它适合 Polygon 侧链的有限区块大小。
该团队声称正在与 Chainlink 和第三方审计师合作,以整合储备证明(独立验证房产所有权和支持 NFT 的适当文件)和来自 hometrack.com 的价格提供(稍后扩展为定价数据提供商的聚合)。该团队认为,该集成将在 5 月中旬完成。
目前,Tangible 受到信任来进行抵押品的价值估算。虽然 Tangible 已经表示有意将独立第三方纳入其中并减少对团队的中心依赖,但这仍有待观察。
所有权和购买证明 – 例子
Tangible 提供了支持 USDR 的 14 栋房产的清单。让我们来看看位于Gillingham的公寓的例子(请参见下方的图片)。这是支持 USDR 的房产之一。所有相关文件都可以通过 Dropbox 文件共享访问。
根据网站和链上记录上的清单,相应的 TNFT 归 USDR 财政部所有。该项目在 Polygon 上列出。它可以通过其 ID 号码(340282366920938463463374607431768211474)识别。
然而,这只是完成链上证明 USDR 财政部拥有相应 TNFT 的一部分。Tangible 还附上了八份文件用于购买证明,其中包括评估报告,证明该公寓的市场价格为 470,000 英镑(约合 580,000 美元)。此外,还有一份销售协议,提供商定的销售价格,以及一份确认该房产以 413,000 英镑(包括印花税和其他费用)购买的完成声明,还有一份房产管理协议 (PMA) 和一份保险单。
此外,文件共享包括一份成立名为 TNFT PROP 12 LTD 的 SPV 的公司注册证明书。这也可以通过检查英国的官方公司注册处进行确认。一份转让文件证实,Gillingham 的 Chatham Waters 房产已转让给了相应的 LTD(SPV)。
显然,根据 Tangible 在平台的 RE 部分上列出的每个房产提供的法律文件,Tangible 的子公司在英国成立的 SPV 已经执行了买卖合约。与 Tangible 的商业模式和 LO 陈述一致,每个 SPV 都有望获得和拥有房产的法律和实际所有权。
假设所有文件都正确,这将完成所有权的证明。根据 Tangible 的文档,法律所有权仍归 Token 发行人 Tangible 所有。然而,实际所有权则归 Token 持有者所有。这种设置类似于 Circle 的 USDC。
总之,验证房地产价格和所有权的过程相当繁琐,且不可扩展。Tangible 或 USDR 的用户必须信任该项目或针对支撑 USDR 的每个 TNFT 进行验证过程。这个过程需要改进,需要找到更好的方法来增加透明度。Tangible 提到与 Chainlink 合作,直接从独立来源提供其房地产的市场价格。然而,这还没有实施,并引发了其他问题(下一节会更详细地讨论)。
风险向量智能合约风险
该协议已经部署了 60 多个独特的智能合约(List1 和 List2),具有跨链实现和许多重要的离线组件。与 USDR 相关的智能合约已经通过三个阶段的 CyberScope 审计:
1. 初步审计(2022 年 11 月 24 日)
2. 修正阶段 1(2022 年 12 月 15 日)
3. 修正阶段 2(2023 年 1 月 17 日)
[附注:CyberScope 的审计报告错误地将发布日期标注为 2022 年 1 月,而非 2023 年。团队已被通知并承认错误]
审计未发现任何重大漏洞或高风险问题。总共发现了 19 个问题(2 个中等,17 个次要和 0 个关键问题)。但是,它提出了几个建议,以改善代码或架构。以下是一些示例:
1. 管理员配置——许多合约依赖于管理员的配置,例如用于资金分配(例如债券计划,附属和激励功能)和直接状态操作。换句话说,该协议依赖于人与其合约的交互。Tangible:Deployer EOA 可以在系统内设置特权角色,从而有能力影响用户资金。
2. 小数架构——合同没有小数规范机制。这导致合同内存在过多的小数规范,创建了合约之间的不必要依赖关系,并且硬编码可能会改变的值。审计中的一个示例如下所示:
3. 合约角色架构——每个合约都包含自己的访问层。合约使用了几个角色,例如 BURNER,MINTER,CONTROLLER,TRACKER,ROUTER_POLICY 等。DEFAULT_ADMIN_ROLE 控制了一些最关键的功能,并已授予 Tangible DAO 4-of-5 多重签名。
审计员指出管理员角色与一般架构(地址、合约)之间可能存在冲突。他们建议使用多签名钱包作为额外的安全层。
在上一个点的基础上,人们普遍担心访问权限问题。我们的研究发现,几乎每个合约都有某种形式的管理员访问权限,因此,这些合约都不是不可变的。尽管大多数合约使用多重签名,但是由于存在大量合约,这也打开了潜在的攻击向量。尤其是 Tangible 的部署账户(Deployer EOA),在系统中具有巨大的权力。它是 DEFAULT_ADMIN_ROLE,可以为任意地址设置角色。虽然团队经常将管理员控制权转移给 4-of-5 的多重签名,但必须注意,新管理员必须取消 Deployer 在每个部署的合约中的管理员角色。这个手动过程增加了人为错误的风险,可能会影响到用户资金的安全。
总之,审计未发现任何严重问题。然而,尽管审计发现没有问题,当前的设置仍需要谨慎对待。Tangible 的 60 多个合约都不是不可变的,而且许多合约都依赖手动交互(管理员角色)。这些角色很难跟踪,并且没有以统一的方式实施。合约的数量和当前设置增加了额外的复杂性,本质上打开了不必要的风险向量,并容易出现人为错误。此外,这些合约容易受到受损访问权限的影响。这些问题的加剧表现在该项目没有去中心化组件(例如治理模块)和缺乏漏洞赏金计划。
链上托管风险
如上所述,Tangible 平台和 USDR 智能合约涉及一个基于角色的访问控制系统,由少数多重签名钱包拥有(由 Deployer EOA 授予)。因此,托管风险在 Tangible:Deployer 和这些签名者手中。他们基本控制整个项目,使其成为一个完全中心化的项目。
从最相关的钱包的签名者看,所有钱包都包含同样的三个 EOA。下面列出所有签名者的摘要:
· Tangible Labs 多重签名(2-of-3)。该钱包控制 USDR 抵押品金库和所有 TNFT(包括房地产)的铸造:
——签名者 1(460 天 – 高活跃度;ENS 标记->tangiblelabs.eth)
——签名者 2(558 天 – 中等活跃度)
——签名者 3(428 天 – 低活跃度)
Tangible DAO 多重签名(4-of-5)该钱包在大部分系统合约中拥有管理权限:
——签名者 1(460 天 – 高活跃度;ENS 标记->tangiblelabs.eth)
——签名者 2(558 天 – 中等活跃度)
——签名者 3(428 天 – 低活跃度)
——签名者 4(306 天 – 无活跃度)
——签名者 5(306 天 – 无活跃度)
USDR 金库经理多重签名(2-of-5)。该钱包管理 USDRTreasury 中的资产:
——与上述钱包相同的五个签名者(Tangible DAO Msg)
前三个签名者在所有三个钱包中都是相同的。完成 4-of-5 和 2-of-5 多重签名的另外两个签名者没有活动,这表明所有多重签名可能通过三个地址控制。
另一个例子是市场费分配器。该合约用于分配 66.6% 的费用并在 Uniswap 上交换剩余的 33.3% 以购买和销毁 TNGBL。该合约由一个单一的 EOA 控制。对于 3,3+ NFTs 也是如此:Tangible:Deployer 控制其中 78%。此外,贿赂经理在所有链上都是同一个 EOA。
换句话说,Tangible 的智能合约托管的所有资产都存在高度的信任因素。一个人控制了系统中相当大的资金流动,这理应是可自动化/可调用的公共功能。USDR 金库中的抵押品也可以被 Tangible Labs 多重签名钱包访问,几乎所有的智能合约也是如此。我们的结论是,目前的托管设置存在高度的风险,高度的信任,容易出现错误。
链下(RWA)托管风险
正如先前所述,以房地产作为稳定币抵押品具有一些优点,但也存在一些风险。主要风险如下:
· 链下托管——将房地产作为抵押品需要在 SPV 内信任托管法律所有权,SPV 和区块链等价物由 Tangible Custody LTD 控制。
· 合法性和监管合规性——由于缺乏监管指导,目前的设置是否符合监管要求还不清楚。这可以适用于大多数 Crypto 项目,但这种情况更为重要,因为它对现实世界产生影响,包括租户和当地社区。
· 利益冲突——同一家公司既发行 USDR 稳定币,同时控制支持该稳定币的 RWA 的进出口,可能会导致利益冲突。它还增加了单一故障点,并引发了可扩展性问题。
· 房地产评估——评估 RE 的抵押价值是一个复杂的过程。像 Hometrack 或 Zoopla 这样的网站提供的支持是一个不错的开始,但这些只是估计值。他们无法预测清算价值。此外,Hometrack 是需要付费使用的,因此限制了可访问性(每次估价的费用为 20 英镑)。而另一方面,Zoopla 则可以免费使用。
预言机风险
当看到一个例子时,与前两点相关的风险变得显而易见。使用与前一节中相同的房产,Zoopla 估计价格在 370k-390k 英镑(457k-482k 美元)之间。这是针对与上述 Gillingham 公寓类似的房产进行估价。相比之下,Tangible 将 Gillingham 房产估价为 529k 美元。相差 9-15%。这允许发行更多未在压力测试中得到完全支持的 USDR。据团队表示,他们的估值还包括 RE 储备中持有的其他资金(例如 5%的维护费用,2%的空置费用,2%的管理费用等)。尽管如此,这个例子强调了当同一个协议发行稳定币和支撑其的抵押品时出现的利益冲突。自然而然,Tangible 会有动力进行高估。
此外,有一个 TNGBL 价格反馈,限制了可以从 TNGBL 中铸造出的 USDR 数量。USDRExchanger 合约通过查询 TNGBLPriceOracle 来强制执行可以存入的 TNGBL 的 USD 价值。TNGBL 价格预言机通过多重签名交易进行更新,使用 UniV3 上的 TNGBL / DAI 池作为次要价格反馈,仅在低于团队的主要价值时才被接受。这可以通过设置在结算的 TNGBL 价格上限来防止市场操纵,但进一步凸显了系统对 Tangible 团队积极管理的依赖性。
总之,Tangible 使用自定义的 Oracle 解决方案。这使他们能够了解他们交易商品的价格。在 Curve Gauge Proposal 中还提供了一些细节:「我们目前拥有自己的房地产预言机,但正在与 Chainlink 合作进行整合,然后可以在实时链上反映第三方 Hometrack.com 的真实房产估值,这样库值和抵押比率就是最新状态,这也让我们得以赚取利润并及时铸造。」
与 Chainlink 和独立审计员的合作将是一个重大的改进。这将消除有关 Tangible 利益冲突的担忧。然而,仅使用 Hometrack 作为唯一的价格权威将可靠性的问题转移到另一个单一实体上。虽然这肯定是一种改进,但它不能保证预言机引用可靠的清算价格。
监管风险
房地产 NFT 可能被归类为证券 Token,可能需要在英国金融行为监管局(FCA)进行注册。在缺乏明确监管指南的情况下,有关该业务模式的官方法律意见书(LO)将作为令 Token 化合规的证明。我们向团队请求获得 LO 声明的访问权限,他们已经与我们分享了此文件。该文件由 Llama Risk 法律顾问审计,遵循其规定并经 Tangible 确认后,我们得到了确保其操作免于 FCA 注册的保证。
随着提供房地产 NFT 等实际财产担保证券的项目所面临的监管清晰度仍然是一个挑战,确保获得优质的法律指导至关重要。Tangible 团队目前每周征求法律建议,并表示他们将于 6 月开始拥有内部法律和合规团队。
用户应该注意,根据 Tangible 服务条款,TNFT 有限公司排除公司的损害赔偿责任,并将合约、侵权、误导或归还的金额限制在 1,000 英镑以内。
Llama Risk 的法律顾问认为,由于 Tangible 在将房地产数字化并卖给零售投资者时,作为 RWA 和链上交易之间的桥梁,一个诚实守信的商家应该确保足够的客户保护水平。这里的服务条款提供了最低限度的保护。
脱钩风险
自问世以来,USDR 一直相对稳定。唯一值得一提的脱离锚定发生在 2023 年 3 月 11/12 日的周末。就在 USDC 失去锚定的同一个周末。USDR 部分由 DAI(约 25%)支持,而 DAI 本身则主要由 USDC(约 63%)支持。Tangible 在其测量提案中描述了该事件。「在 UTC 上周六上午,DAI 储备减少,因为人们开始惊慌失措。我们预计人们会开始兑换 pDAI,而在 UTC 上周一上午,我们将需要为那些想要快速退出其位置的人创建 DAI-pDAI 的流动性池。然而,这并不是必需的,因为我们在不需要协议发行 pDAI 的情况下恢复了锚定。然而,这种风险仍然存在,并且是将稳定币以 Token 化的不动产为后盾的单一最大缺点。」
然而,关于 USDR 的稳定性,价格大多围绕着 1 美元的标准。它也很快从三月中旬的脱离锚定中恢复过来(见下图)。
以下的稳定机制用于保持 USDR 在锚定状态:
· 首先,为了防止脱锚,USDR 可以兑换其支持它的 DAI。目前,约 25% 的抵押品以 DAI 计价。
· 其次,USDR 由协议拥有的流动性支持,由 USDR Curve 池组成。两个措施的结合为交易或兑换 USDR 提供了一定数量的流动性。
· 然后,Tangible 成立了一个保险基金。撰写本文时,该保险基金总额约为 1,100,000 美元(占 USDR 抵押品的 9.2%)。然而,基于 Polygon 的多重签名主要包含 20/80 USDC/TNGBL LP Token。换句话说,该保险基金主要由更多的 TNGBL 组成。
· 正如前面提到的,Tangible 还计划实施 pDAI(即承诺型 DAI)。在银行挤兑的情况下,即 Tangible 不得不出售其 RE TNFT,以让 USDR 持有者获得补偿时,就需要使用 pDAI。在这种情况下,可以兑换 pDAI,而不是 DAI。一旦足够的房地产被清算,pDAI 持有者可以将其换成真实的 DAI。
TNGBL 作为抵押品
Tangible 的目标是将其自己的 TNGBL Token 组成支持的抵押品的 5-10%,即可将其铸造成价值 1 美元的 TNGBL。这使得 USDR 成为部分的算法稳定币,并引发了市场不利情况下其可靠性的担忧。虽然 Tangible 限制了可以从 TNGBL 铸造 USDR 的数量,但它现在占总支持的 14%。
使用部分内源性抵押品类型可能会出现令人担忧和潜在不可持续的策略。例如,贿赂经理定期存入 TNGBL 以铸造 USDR 用于其激励计划。这使 Tangible 获得了类似于铸造无担保稳定币的权力,这引发了对 Mochi's USDM 的紧急行动。Tangible 可能会通过 TNGBL 铸造 USDR 并兑换成 DAI 或将其出售到其 Curve 池中获取 USDC/USDT/DAI。团队最近开始在 Warden Quest 上为其 USDR/am3CRV 池提供激励,共计 225,000 美元的存款。大部分资金来自 Binance 钱包,一些来自于由 TNGBL -> USDR -> DAI(Curve 池)的流动资金。
对于 TNGBL 在 USDRTreasury 中的存款分析显示,大部分 USDR 的铸造都是来自团队存款,主要来自于他们的贿赂钱包(用于激励增加 USDR 流动性的贿赂)和政府钱包(购买政府 Token,包括 CVX 和 VELO,以增加对 USDR 池的激励)。以下所示的金库转移包括来自这两个团队钱包的大部分存款。总的来说,在金库合约中的 1,106,514 个 TNGBL 中,有 1,023,854 个(>92%)已确认是团队存款。
这种策略允许 Tangible 通过为 USDR/am3CRV 池(以及其他流动性场所)提供激励来积极扩张,但前提是 TNGBL 的价格必须保持稳定。如果 TNGBL 的价格大幅下跌,USDR 可能会出现不足抵押的情况。如前几节所述,TNGBL 是最后一个可以兑换的金库资产,在所有 DAI 和 RE 都被兑换之后才能兑换。保险基金主要由 USDC/TNGBL Balancer 池组成,但在紧急情况下,这将大多无效。TNGBL 对 USDR 的偿债能力构成重大风险。
wUSDR
USDR 可在不同的区块链上使用,这也需要考虑到汇率稳定性。为了在 Polygon 之外使用其稳定币,Tangible 创建了包装的 USDR(wUSDR)。
真实的美元可以通过 Tangible 的网站包装成 wUSDR。包装过程在 Polygon 上完成。然后,可以使用 Multichain 的路由器将其转移到 BSC、Optimism、Ethereum 和 Arbitrum。wUSDR 持有人随后可以在这些生态系统中的不同 DEX 和收益聚合器上提供流动性和农场。例如,Optimism 上的 Beefy 和 Velodrome、BSC 上的 Thena,以及 Ethereum 上的 Balancer 和 Aura。目前还未开放在 Arbitrum 上的农场。
为了与 Multichain 的路由器兼容作为「跨链资产」,wUSDR 实现了 Multichain 的扩展智能合约 Anyswapv6ERC20.sol。这在将 wUSDR 转移到上述链时创造了更好的用户体验。然而,正如我们之前关于 Multichain 的报告中所强调的,这将 wUSDR 的铸造和销毁功能授予了 Multichain 的 MPC 控制。因此,这为 USDR 和 wUSDR 增加了一个额外的依赖和风险元素。
此外,wUSDR 和 USDR 之间存在很大的差异。该 Token 的封装版本不会进行 rebase 操作,而是在租金分配发生时价格会上涨。因此,wUSDR 和 USDR 的价格存在差异(见下图)。
由于价格不断上涨,这些流动性池不是「纯稳定池」,不能被认为是有意义地促进 USDR 固定机制的贡献。相反,这增加了一个已经相当复杂的项目的复杂性。值得指出的是,wUSDR Token 持有人存在高度集中的情况。在 Polygon 之外的所有链上,几乎所有的 wUSDR Token 都被存入了上述的 DEXs(见下图)。
总之,Tangible 已经建立了几个支持 USDR 锚定的机制。他们构想了一种有前途的方法(pDAI),以确保 USDR 持有者可以随时用等值物品赎回 USDR。然而,大多数措施仍然是新的,没有经过实战考验,有些是完全中心化的(例如房地产清算)。特别是在银行挤兑的情况下,USDR 是否能够保持其固定汇率是值得质疑的。此外,该项目通过其 wUSDR Token 和多链集成引入了多个维度的额外复杂性和潜在弱点。这些因素不利于 USDR 汇率稳定的安全性。尽管如此,USDR 到目前为止已经被证明相当稳定(自 2022 年 10 月以来),并成功度过了它的第一次脱钩。
Llama 风险评估标准
1. 一个单一实体有可能欺骗其用户吗?
是的,Tangible 有可能忽视资产清算或不履行赎回义务。它还充当自己定价 RWA 的神谕。大多数协议的资金,包括其库存、保险基金和智能合约托管的抵押品,都可以通过团队控制的多重签名进行访问。此外,没有时间锁。
团队已公开身份,并且有建立 Web3 创业公司的经验,这增加了一定的可信度。然而,高度的系统复杂性以及中心化的访问控制会引起担忧。
2. 如果团队消失了,项目能否继续?
不行,团队控制着所有合约、资产和所有 RWA 的监管。如果团队消失,DAO 无法行使其 RWA 的清算权。此外,没有人可以更新合约、分配费用或访问保险库中持有的任何其他资产。因此,Tangible 监管的房地产或任何其他 RWA 不太可能被团队之外的任何人访问。
团队提到了一项计划,即与其他 RE 发行者合作,以减少对自己的 LLC 的依赖。这还有待观察。
3. 该协议是否依赖 CRV 或其他激励措施来保持其锚定?
在获得 Curve 标准后,USDR 的市值已达到 1150 万美元。USDR 也一直相对稳定。仅在 USDC 解锁期间出现了解锁,而大多数稳定币在一个周末内都会出现一些问题。USDR 很快恢复了,并保持了稳定。
然而,USDR 依赖于 Curve 池中的 POL,以提供足够的流动性,并通过协议直接最小化赎回。这可能会产生对 Curve 池激励的依赖,以避免流动性危机,这可能会成为系统面临破产风险时的拐杖。
4. 审计是否揭示了任何令人担忧的迹象?
没有,第一次审计没有发现任何严重问题。然而,迄今只有一次审计。第二次审计正在进行中,而本报告正在撰写。值得注意的是,目前没有主动赏金计划,而且 Tangible 通常还是一个年轻的项目。
有一些架构上的不一致性和过多的手动、特权功能。目前,Tangible 更像是一个公司而不是一个协议,存在人为错误或不良系统管理的可能性。鉴于系统的复杂性,仅进行一次审计并缺乏漏洞赏金计划不足以提供强有力的安全保障。
结论
Tangible 是一个非常雄心勃勃、快速发展的项目。它引入了新颖的 RWA 使用案例和一种具有内在收益和再平衡机制的创新型稳定币。关于 RWA 交易和房地产抵押品的概念是新颖且经过深思熟虑的。然而,团队所拥有的中心化控制程度存在利益冲突,因为团队既是 RE TNFT 发行方,又是基础资产的托管方。此外,该项目的实际实现还有很大的改进空间。Tangible 优先考虑增长和快速推出新功能,而不是现有基础设施的去中心化和可持续性。
智能合约访问控制、RWA 托管、治理和抵押品结构的整个设置都不足以保证安全,并需要对平台背后的实体完全信任。此外,它在技术和概念层面上都非常复杂,需要改进项目的透明度(例如 RWA 的所有权和托管、RWA 的定价、跨链 wUSDR 实现、路线图、访问权限、管理员角色和隐藏的所有者等等)。
虽然我们赞扬该项目的雄心壮志,但我们认为太过于依赖核心团队。用户完全依赖团队的诚实和负责任的管理。为了满足 Curve 规则的要求,Tangible 应该实施将其 RWA 的价格预言机和准备金证明转移到独立的审计机构和预言机提供商的计划。TNGBL 也应该被移除为抵押资产,因为它会增大 USDR 的风险。在这些变化发生之前,我们认为 Curve 不应该激励 USDR/am3CRV 池。