首发 | 一朝跌落云端 Yam Financial智能合约漏洞事件分析 ?

红薯刚种下,就得挖出来了?

今日DeFi领域再次发生一起魔幻事件,呼声极高的红薯项目一经上线,流动性矿工们就开始疯狂涌入。短短8个小时内,Yam Finance中锁仓总价值就超过2亿美元。COMP挖矿带动了DeFi产业出圈,而YAM直接带动了DeFi头部项目集体上涨,堪称“一飞冲天”。

然而短短36小时内,眼见它高楼起,高楼塌。数亿美元因为一个小小的漏洞,消失于无形。本以为反应迟钝的自己损失了一个亿,没想到保住了自己的五块钱。

好好的小红薯,究竟承受了什么?

事件背景

Britannia 收购加密货币交易公司 Alphaplate:金色财经报道,总部位于伦敦的国际金融服务集团 Britannia Financial Group 宣布收购Alphaplate Ltd,这是一家专门从事加密货币交易的专有技术公司。Alphaplate成立于2017年,是一家以顶级交易所为主的系统化、量化做市商。此次收购将使 Britannia 能够为其客户提供跨数字资产市场的执行、托管、场外交易服务、支付和资产管理服务。Alphaplate 及其团队将大部分保留,他们将带来经过验证的执行能力以及强大的风险管理系统。

Britannia Financial Group 战略主管 Mark Bruce 评论称:全球加密市场每天交易量超过 1000 亿美元,对于我们的许多客户来说,它是一个越来越重要的资产类别,他们正在寻求进入这一迅速崛起的资产类别。 此次收购后,Britannia 将成为金融机构中的早期采用者,能够为其客户提供端到端的加密交易产品。[2022/4/25 14:46:07]

8月12日,YAM Finance官方宣布他们发现了一个智能合约漏洞,并称该漏洞将生成超出最初设定数量的YAM代币。在这种情况下,大量的保留代币将造成治理操作所需的代币数量过大。这意味着社区将来将没有足够的代币来执行任何治理操作。

智能合约漏洞出现在哪里?

该漏洞发生在YAM项目智能合约YAM.sol的rebase功能上,如下图所示:

图片来源: 

https://github.com/yam-finance/yam-protocol/blob/767e3a4a6918b6fb6100ad6bb356164408f5d82f/contracts/token/YAM.sol#L340

上图中的rebase功能应该执行rebase,以保持稳定的价格。但是,有一行代码(已标注蓝色)在计算totalSupply时,给出了错误的结果,这会导致系统保留的代币数量过多。

这行代码的正确代码/计算方程形式应类似于以下代码/方程:

totalSupply =initSupply.mul(yamsScalingFactor).div(BASE);

那么是否可以在截止日期之前通过治理操作来修复此漏洞?

第二次调整是在美国东部时间8月13日凌晨4点。

YAM Finance公开宣布,在美东时间凌晨3点之前,他们需要约16万YAM委托要求才能提交治理提案。如果在投票窗口中得到的委托超过40万YAM,则该提案将允许用户将YAM自行转移或存入储备池。 

有一个好消息是,YAM获得了其社区的大力支持,并且该提案已成功提交。但是,新提交的提案无法在智能合约中运行,所以YAM目前依旧是一个不可管理的状态。

YAM的现状

YAM Finance目前已经失去了治理能力,75%的流动资金已经从YAM / yCRV未拨出资金池中移出。但是,其余的流动资金将从储备库中删除。

据官方消息,Gate.io将为YAM Gitcoin捐赠,捐赠资金将被用于对YAM合约进行审计。审计完成后,YAM合约将迁移到YAM2.0。

如何避免?

CertiK安全团队强烈建议:

所有区块链项目在正式发布之前不仅需要使用严格的软件测试工具来验证项目的代码安全性,更是应该邀请多个第三方区块链安全团队,做好对区块链项目中代码的验证审计工作,并在每次更新代码后进行重新审计。从而设计一个更好的项目管理系统,以备进行项目紧急更新的需求。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

USDCBitZ超级杠杆:让合约变得像现货一样简单交易

随着加密市场的发展,期货合约交易市场的热度愈发高涨,进入到2020年,各家交易所纷纷开始布局合约赛道,再次掀起了合约产品的热潮。行情低迷的时候,市场资金量不足,投资回报率低下,合约无疑是最好的投资产品(虽然风险高)。而在行情走高的时候,主流币普涨,市场资金更加集中在主流币上,合约交易热度进一步推高,这也是为什么合约交易才是真正的兵家必争之地。

DOT与以太坊不同 另类的Solana不走分片之路

前不久FTX将要基于Solana发布其DEX交易所,该DEX名为Serum。FTX的CEO SBF还公开为Solana“带盐”:“Solana棒极了!”这是什么情况?为什么不是基于以太坊构建其DEX? 这一切都源于Solana的特色:在保证一定程度安全的前提下,实现高性能和低费用。

MATIC矿工是如何盈利的?

比特币挖矿经济是由无数彼此竞争来保障网络安全的特定应用计算机形成的,其中可以提炼出一个输入三角:收入、运营成本与资本开支。 结合内部收益率 (IRR)、净现值 (NPV)、投资回报率 (ROI)和投资回收期等指标,我们可以利用这三大数据得出对矿工盈利能力的看法。

[0:0ms0-4:4ms