YAM:首发 | 一朝跌落云端 Yam Financial智能合约漏洞事件分析 ?

红薯刚种下，就得挖出来了？

今日DeFi领域再次发生一起魔幻事件，呼声极高的红薯项目一经上线，流动性矿工们就开始疯狂涌入。短短8个小时内，Yam Finance中锁仓总价值就超过2亿美元。COMP挖矿带动了DeFi产业出圈，而YAM直接带动了DeFi头部项目集体上涨，堪称“一飞冲天”。

然而短短36小时内，眼见它高楼起，高楼塌。数亿美元因为一个小小的漏洞，消失于无形。本以为反应迟钝的自己损失了一个亿，没想到保住了自己的五块钱。

LBank蓝贝壳于5月3日20:00首发 CSPR(Casper)，开放USDT交易:据官方公告，5月3日20:00，LBank蓝贝壳上线 CSPR(Casper)，开放USDT交易，同时并开放充值，资料显示，Casper网络是基于CasperCBC规范构建的第一个实时权益证明区块链。Casper旨在加速当今企业和开发人员对区块链技术的采用，同时确保随着网络参与者需求的发展，其在未来仍能保持高性能。[2021/5/3 21:19:51]

首发 | 区块链技术及软件安全实战基地正式成立:金色财经报道，今日，中软协区块链分会、人民大学、菏泽市局相关部门联合共建的区块链技术及软件安全实战基地正式成立。同时聘任中软协区块链分会副秘书长宋爱陆为区块链技术及软件安全实战基地特别专家。

区块链技术及软件安全实战基地主要涉及领域为：非法数字货币交易与、区块链与电信、网络、四方支付、冒用商标注册等，联合社会治理、城市安全、前沿技术领域的行业专家，进行警协合作。

据公开报道，近期菏泽市下属机关刚破获一起特大电信网络案，打掉多个涉嫌以网贷和投资“比特币”为名的团伙，抓获犯罪嫌疑人83名，扣押冻结涉案资金2700万元。[2020/7/21]

好好的小红薯，究竟承受了什么？

首发 | 蚂蚁矿机S17真机图首次曝光 采用双筒风扇及一体机设计 ?:继正式宣布在4月9日现货销售后，比特大陆即将发布的新品蚂蚁矿机S17又有了新动态。据悉，蚂蚁矿机S17真机图今天在网上首次曝光。

从曝光的图片来看，蚂蚁矿机S17延续上一代产品S15的双筒风扇设计，且采用一体机的机身设计。有业内人士认为，采用双筒设计可有效缩短风程，矿机出入风口的温差变小，机器性能将得到很大改善。

此前比特大陆产品负责人在接受媒体采访时表示，新品S17较上一代产品相比，无论是在能效比还是单位体积的算力等方面，均有较大提升。[2019/4/3]

事件背景

8月12日，YAM Finance官方宣布他们发现了一个智能合约漏洞，并称该漏洞将生成超出最初设定数量的YAM代币。在这种情况下，大量的保留代币将造成治理操作所需的代币数量过大。这意味着社区将来将没有足够的代币来执行任何治理操作。

智能合约漏洞出现在哪里？

该漏洞发生在YAM项目智能合约YAM.sol的rebase功能上，如下图所示：

图片来源: 

https://github.com/yam-finance/yam-protocol/blob/767e3a4a6918b6fb6100ad6bb356164408f5d82f/contracts/token/YAM.sol#L340

上图中的rebase功能应该执行rebase，以保持稳定的价格。但是，有一行代码（已标注蓝色）在计算totalSupply时，给出了错误的结果，这会导致系统保留的代币数量过多。

这行代码的正确代码/计算方程形式应类似于以下代码/方程：

totalSupply =initSupply.mul(yamsScalingFactor).div(BASE);

那么是否可以在截止日期之前通过治理操作来修复此漏洞？

第二次调整是在美国东部时间8月13日凌晨4点。

YAM Finance公开宣布，在美东时间凌晨3点之前，他们需要约16万YAM委托要求才能提交治理提案。如果在投票窗口中得到的委托超过40万YAM，则该提案将允许用户将YAM自行转移或存入储备池。 

有一个好消息是，YAM获得了其社区的大力支持，并且该提案已成功提交。但是，新提交的提案无法在智能合约中运行，所以YAM目前依旧是一个不可管理的状态。

YAM的现状

YAM Finance目前已经失去了治理能力，75％的流动资金已经从YAM / yCRV未拨出资金池中移出。但是，其余的流动资金将从储备库中删除。

据官方消息，Gate.io将为YAM Gitcoin捐赠，捐赠资金将被用于对YAM合约进行审计。审计完成后，YAM合约将迁移到YAM2.0。

如何避免？

CertiK安全团队强烈建议：

所有区块链项目在正式发布之前不仅需要使用严格的软件测试工具来验证项目的代码安全性，更是应该邀请多个第三方区块链安全团队，做好对区块链项目中代码的验证审计工作，并在每次更新代码后进行重新审计。从而设计一个更好的项目管理系统，以备进行项目紧急更新的需求。

标签：YAM区块链m.financeFINAYAM币会是百倍币吗2021区块链工程专业张雪峰Shroom.FinanceBeyond Finance

波场热门资讯