首发 | 一朝跌落云端 Yam Financial智能合约漏洞事件分析 ?

币安下载 来源: (阅读:0)

红薯刚种下,就得挖出来了?

今日DeFi领域再次发生一起魔幻事件,呼声极高的红薯项目一经上线,流动性矿工们就开始疯狂涌入。短短8个小时内,Yam Finance中锁仓总价值就超过2亿美元。COMP挖矿带动了DeFi产业出圈,而YAM直接带动了DeFi头部项目集体上涨,堪称“一飞冲天”。

然而短短36小时内,眼见它高楼起,高楼塌。数亿美元因为一个小小的漏洞,消失于无形。本以为反应迟钝的自己损失了一个亿,没想到保住了自己的五块钱。

Binance正在研究BNB Chain在Twitter未来可以扮演什么角色:5月7日消息,Binance一位发言人透露,这家加密货币交易平台已经看到帮助Twitter扩展其功能的机会。该发言人表示,我们相信,未来Web3能在包括Twitter在内的社交媒体平台发挥同样重要的作用,Web3对权力下放的关注有助于提高用户透明度、问责制和言论自由。

据悉,Binance正在组建一个团队,专注于如何利用区块链和加密技术帮助Twitter和其他社交媒体平台,比如,BNBChain在Twitter未来可以扮演什么角色,该发言人称。

此前消息,在SEC公布的马斯克推特私有化的收购文件中,包含了一份共同投资者列表,表中显示Binance出资5亿美元参与股权收购。(BlockWorks)[2022/5/8 2:58:12]

好好的小红薯,究竟承受了什么?

Plasm官方:Plasm将在Polkadot上达成 ETH2.0:Plasm官方表示,如果大家将ETH2.0定义为“ ETH1.0 +分片(+Rollups)”,那么Plasm将在Polkadot上达成ETH2.0。ZK Rollups和Optimistic Rollups解决了Layer2的“数据可用性”问题。Plasm官方称,Polkadot?旦接入平行链就具有分片架构,这将使得Polkadot可扩展。而Polkadot上需要像Rollups这样的扩展解决方案,至少有以下两大原因:1、水平扩展性与垂直扩展性不同,Polkadot 具有前者,但没有后者。?般来说,平行链必须是基于Substrate框架下的区块链。Rollup应?不同于平行链,因为Layer2应用从开始就不必是?条“区块链”。2、许多以太坊项目将在未来几个月内使用Rollups,从而可以轻松地从以太坊迁移到Plasm。[2020/12/16 15:26:06]

事件背景

8月12日,YAM Finance官方宣布他们发现了一个智能合约漏洞,并称该漏洞将生成超出最初设定数量的YAM代币。在这种情况下,大量的保留代币将造成治理操作所需的代币数量过大。这意味着社区将来将没有足够的代币来执行任何治理操作。

智能合约漏洞出现在哪里?

该漏洞发生在YAM项目智能合约YAM.sol的rebase功能上,如下图所示:

图片来源: 

https://github.com/yam-finance/yam-protocol/blob/767e3a4a6918b6fb6100ad6bb356164408f5d82f/contracts/token/YAM.sol#L340

上图中的rebase功能应该执行rebase,以保持稳定的价格。但是,有一行代码(已标注蓝色)在计算totalSupply时,给出了错误的结果,这会导致系统保留的代币数量过多。

这行代码的正确代码/计算方程形式应类似于以下代码/方程:

totalSupply =initSupply.mul(yamsScalingFactor).div(BASE);

那么是否可以在截止日期之前通过治理操作来修复此漏洞?

第二次调整是在美国东部时间8月13日凌晨4点。

YAM Finance公开宣布,在美东时间凌晨3点之前,他们需要约16万YAM委托要求才能提交治理提案。如果在投票窗口中得到的委托超过40万YAM,则该提案将允许用户将YAM自行转移或存入储备池。 

有一个好消息是,YAM获得了其社区的大力支持,并且该提案已成功提交。但是,新提交的提案无法在智能合约中运行,所以YAM目前依旧是一个不可管理的状态。

YAM的现状

YAM Finance目前已经失去了治理能力,75%的流动资金已经从YAM / yCRV未拨出资金池中移出。但是,其余的流动资金将从储备库中删除。

据官方消息,Gate.io将为YAM Gitcoin捐赠,捐赠资金将被用于对YAM合约进行审计。审计完成后,YAM合约将迁移到YAM2.0。

如何避免?

CertiK安全团队强烈建议:

所有区块链项目在正式发布之前不仅需要使用严格的软件测试工具来验证项目的代码安全性,更是应该邀请多个第三方区块链安全团队,做好对区块链项目中代码的验证审计工作,并在每次更新代码后进行重新审计。从而设计一个更好的项目管理系统,以备进行项目紧急更新的需求。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

标签:CHAARARACPARACHAMP价格Farming ParadiseDrac (BRC)PARA币

金智博客

SAND如何竞拍波卡平行链?

Polkadot 的平行链插槽将根据无需许可的蜡烛拍卖进行出售,我们在这个蜡烛拍卖的基础上做了一些改进,以确保区块链的安全。 蜡烛拍卖机制 蜡烛拍卖是公开拍卖的一种变体,在公开拍卖中,竞买人提交的出价越来越高,拍卖结束时,出价最高的人被认为是赢家。 蜡烛拍卖最初是在 16 世纪用于出售船只,并从决定拍卖开放期的 “一寸蜡烛” 中得名。

欧易okex官网波卡最新进展:推出平行链测试网 Rococo

本周早些时候,我们朝着在 Polkadot 上实现平行链功能迈出了重要的一步,我们推出了专门为平行链及其相关技术设计的新测试网,称为洛可可( Rococo)。Rococo 测试网将 Polkadot 与 Cumulus 和 HRMP(Horizontal Relay-chain Message Passing) 集成在一起。

[0:0ms0-9:275ms