首发 | 一朝跌落云端 Yam Financial智能合约漏洞事件分析 ?

红薯刚种下,就得挖出来了?

今日DeFi领域再次发生一起魔幻事件,呼声极高的红薯项目一经上线,流动性矿工们就开始疯狂涌入。短短8个小时内,Yam Finance中锁仓总价值就超过2亿美元。COMP挖矿带动了DeFi产业出圈,而YAM直接带动了DeFi头部项目集体上涨,堪称“一飞冲天”。

然而短短36小时内,眼见它高楼起,高楼塌。数亿美元因为一个小小的漏洞,消失于无形。本以为反应迟钝的自己损失了一个亿,没想到保住了自己的五块钱。

Coinbase为用户提供120万美元的狗狗币奖励:据Coinbase官方消息,Coinbase将为用户提供120万美元的狗狗币奖励。用户在6月10日之前在Coinbase上买卖100美元的DOGE就有机会获得奖励。该活动仅对美国50个州和哥伦比亚特区(不包括夏威夷)的合法居民开放。[2021/6/4 23:10:13]

好好的小红薯,究竟承受了什么?

事件背景

8月12日,YAM Finance官方宣布他们发现了一个智能合约漏洞,并称该漏洞将生成超出最初设定数量的YAM代币。在这种情况下,大量的保留代币将造成治理操作所需的代币数量过大。这意味着社区将来将没有足够的代币来执行任何治理操作。

智能合约漏洞出现在哪里?

ETH实体矿机、BTC云算力登陆MXC抹茶SpaceM第七期:据官方公告,ETH NVIDIA显卡矿机与BTC云算力,将于1月11日登陆MXC抹茶SpaceM,10:30-17:00开启抽签登记。ETH NVIDIA显卡矿机抽签资格获取方式为:1月10日13:00-1月11日17:00,在BTC、ETH、BCH等12个主流币交易对,现货或杠杆交易额大于1000 USDT。ETH矿机仅限50台,据币印矿池数据,关机价格约438元,回本周期约183天,当前每日收益约138元,MXC抹茶可提供托管服务。若ETH切换为PoS共识,该矿机可继续挖ETC、XMR等资产。

BTC云算力抽签资格获取方式为:1月2日12:00-11日12:00,MX最低持仓量大于1万枚。TBTC仅为产品名称,用户中签后,按1 TBTC=13.2 USDT比例扣除资产,此后60日将每日收到BTC空投,空投数量及实际收益以算力情况而定。[2021/1/11 15:49:15]

该漏洞发生在YAM项目智能合约YAM.sol的rebase功能上,如下图所示:

图片来源: 

https://github.com/yam-finance/yam-protocol/blob/767e3a4a6918b6fb6100ad6bb356164408f5d82f/contracts/token/YAM.sol#L340

上图中的rebase功能应该执行rebase,以保持稳定的价格。但是,有一行代码(已标注蓝色)在计算totalSupply时,给出了错误的结果,这会导致系统保留的代币数量过多。

这行代码的正确代码/计算方程形式应类似于以下代码/方程:

totalSupply =initSupply.mul(yamsScalingFactor).div(BASE);

那么是否可以在截止日期之前通过治理操作来修复此漏洞?

第二次调整是在美国东部时间8月13日凌晨4点。

YAM Finance公开宣布,在美东时间凌晨3点之前,他们需要约16万YAM委托要求才能提交治理提案。如果在投票窗口中得到的委托超过40万YAM,则该提案将允许用户将YAM自行转移或存入储备池。 

有一个好消息是,YAM获得了其社区的大力支持,并且该提案已成功提交。但是,新提交的提案无法在智能合约中运行,所以YAM目前依旧是一个不可管理的状态。

YAM的现状

YAM Finance目前已经失去了治理能力,75%的流动资金已经从YAM / yCRV未拨出资金池中移出。但是,其余的流动资金将从储备库中删除。

据官方消息,Gate.io将为YAM Gitcoin捐赠,捐赠资金将被用于对YAM合约进行审计。审计完成后,YAM合约将迁移到YAM2.0。

如何避免?

CertiK安全团队强烈建议:

所有区块链项目在正式发布之前不仅需要使用严格的软件测试工具来验证项目的代码安全性,更是应该邀请多个第三方区块链安全团队,做好对区块链项目中代码的验证审计工作,并在每次更新代码后进行重新审计。从而设计一个更好的项目管理系统,以备进行项目紧急更新的需求。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

FTT广州互联网法院:22845件数字金融纠纷案件证据在“链”上储存

互联网时代,法院如何高质高效化解数字金融纠纷?广州互联网法院以“网通法链”智慧信用生态系统提供了“广州方案”。记者从8月12日举行的广州市第164场疫情防控复工复产新闻发布会(“数字金融五链协同治理”专题)上获悉,该系统自从2019年3月上线以来,已运用区块链技术对22845件数字金融纠纷案件的相关数据正行了对接、储存和运用。

SOL金色前哨 | “感谢DeFi项目YAM 以太坊启动Layer 2大规模扩展”

最新数据显示,以太坊的算力已升至20个月高位。 受DeFi的影响,目前,以太坊算力徘徊在200TH/s左右,这是自2018年11月以来从未见过的水平。 究其原因,最近几周,用户对以太坊网络的需求明显增加,尤其自6月以来,越来越多的用户开始使用DeFi,导致以太坊网络变得拥堵。

以太坊最新价格金色观察 | BCH再闹分叉:社区反响激烈 币价平平

今日,币圈博主“Bitcoin”爆料,ViaBTC矿池CEO杨海坡将发起对BCH的再一次分叉,新的分叉链代码为BCC。之后,ViaBTC矿池CEO杨海坡在微博称:“BCH苦ABC久矣,是时候需要做出改变了。 据悉,本次杨海坡杨海坡发声主要反对ABC及其首席开发者Amuary Sechet,特别是关于11月15日新难度算法的分歧。

XMR星际漫游指南|先河系统张日和:通证学与Filecoin案例分析

2020年8月3日,由IPFS100.com主办;CapitalN节点咨询承办;金色算力云联合主办;深圳市先河系统技术有限公司金牌赞助;逆熵科技银牌赞助;阿里云、中科云创、KEX、云虎算力、虎符、Top Network、星河华讯特别支持;金色财经作为联合主办媒体的“星际漫游指南·逐鹿中原·IPFS技术与应用研讨论坛”在中原经济区核心城市——郑州。

[0:15ms0-6:262ms