安?實驗室發布「YFII流動性挖礦合約安全性研究」，所涉四項合約未包含致命安全漏洞_TOKE

YFII是一個新型去中心化DeFi礦池，應社區小伙伴邀請，安比實驗室于2020年7月27日至8月2日對YFII智能合約進行了安全性研究。分析對象為下列合約：YFIIPool1:0xb81D3cB2708530ea990a287142b82D058725C092YFIIPool2:0xAFfcD3D45cEF58B1DfA773463824c6F6bB0Dc13aYFIIToken:0xa1d0E215a23d7030842FC67cE582a6aFa3CCaB83BPTToken:0x16cAC1403377978644e78769Daa49d8f6B6CF565初步分析結果表明，以上四個合約并未包含致命安全漏洞。安比實驗室希望通過本文對研究過程做一個記錄和總結，Token價格、經濟模型、其他外部合約模塊、以及未來新的合約不在本文討論內。YFII和YFI是什么

YearnFinance是一個DeFi收益聚合器，于7月17日推出治理TokenYFI后因其新穎的分發機制和治理方案迅速引爆了流動性挖礦市場。而YFII是對YFI項目的分叉，遵循YIP-8，實施了類似比特幣的減半機制。YFII相對YFI做了哪些改動

Dumpies項目Discord服務器已被入侵:金色財經報道，據CertiK監測，Dumpies項目Discord服務器已被入侵，黑客發布了網絡釣魚鏈接。在團隊確認他們已經恢復服務器的控制權之前，請勿點擊任何鏈接。[2023/3/9 12:51:05]

目前，YFII合約代碼均直接Fork自YearnFinance，做了較小的改動以支持YFIIToken的定期減半分發。下表為YFII涉及的合約與YFI合約對應關系及地址。

YFI/YFIIToken為項目治理Token合約，二者實現一致，具體為一個帶mint和簡單governance功能的標準ERC-20Token。BPTToken為BalancerPoolToken合約，是做市商的流動性證明Token，實際由自動做市協議Balancer的BFactory入口合約創建，因此二者實現完全一致。該合約代碼此前由TrailofBits和ConsensysDiligence進行過審計。Pool1和Pool2是用于分發治理Token的流動性挖礦合約，Pool1和Pool2的代碼實現一致，均被稱為YearnRewards合約，而YFII相對于YFI的改動即在這該合約中。YFIIPool1和Pool2合約相對于原始代碼新增了checkStart()和checkhalve()兩個修飾符函數，分別用于控制挖礦開始時間，和治理Token周期性地產量減半。YFII&YFI核心合約簡析

馬斯克：社交媒體平臺希望讓meme幣交易變得更容易:金色財經報道，特斯拉首席執行官馬斯克最近在 Twitter Spaces 上的一次談話中?重申了他對meme加密貨幣狗狗幣的支持。

\u2028當被問及著名的比特幣模仿時，這位有爭議的企業家說“Dogecoin to the moon”。? 馬斯克還表示，社交媒體平臺希望讓使用meme幣進行交易變得更加容易。? DOGE 價格在過去 24 小時內上漲了近 5%，目前在 Binance 交易所的交易價格為 0.104 美元。在超過 Cardano (ADA) 之后，它仍是市值排名第八的加密貨幣。[2022/12/4 21:21:46]

YFII和YFI流動性挖礦的核心合約代碼YearnRewards實際源自于Synthetix項目的Unipool，原本用于獎勵在Uniswap上為ETH/sETH交易對提供流動性的做市商SNXToken，該代碼之前經過SigmaPrime審計。基于YearnRewards的流動性挖礦整個流程可以分為以下幾步：具有RewardDistribution權限的地址，預先通過調用YearnRewards合約的notifyRewardAmount()函數，設置獎勵數額，而對應金額的YFIToken應由YFIminter轉入YearnRewards合約中。礦工向YearnRewards合約指定的目標DeFi合約提供流動性，拿到對應的流動性證明Token，該Token可以用于換回資產以及賺取利息或手續費收益。礦工將得到的PoolToken通過調用stake()函數存入YearnRewards合約中，合約自動根據Stake時長和礦工存入資金規模占資金池總規模的大小來計算礦工應得的獎勵。礦工可隨時提走自己的應有獎勵以及之前存入的PoolToken。通常一個YearnRewards合約專門用于單個特定DeFi項目的流動性挖礦，如Pool1對接Curve項目的y池，Pool2對接Balancer上的YFI-DAIPool。一些發現

《G20巴厘領導人宣言》呼吁建立全球加密監管框架:11月21日消息，根據美國白宮官網公布的《G20巴厘領導人宣言》，宣言表示要建立公眾的風險意識、加強監管成果并支持公平競爭環境，同時利用創新的好處，這一點至關重要。

該聲明進一步指出，歡迎FSB提出的基于相同活動、相同風險、相同監管原則建立加密資產活動監管綜合國際框架的方法，希望確保加密資產生態系統(包括各種Stablecoin)受到密切監控，以減輕金融穩定的潛在風險。[2022/11/21 22:11:17]

前面提到YFII相對于YFI的改動，代碼改動整體較小。新增兩個修飾器函數用于約束stake()withdraw()getReward()三個主要功能函數。

notifyRewardAmount()函數中新增了一行代碼，用于在notify的同時直接控制YFIToken合約mint指定數量的Token到當前YearnRewards合約，將其作為獎勵用于分發。因此，Pool1和Pool2合約必須是YFIIToken合約的minter。這讓YFII與YFI在Token分發細節邏輯上稍有不同。YFI每期獎勵的分發都需要由特定地址負責設置金額并轉入Token。而YFII除了第一期開始前執行了notifyRewardAmount()操作，之后會隨著用戶的調用，產量自動定期減半。

Mark Cuba構建的NFT數字藝術館Lazy.com集成WAX區塊鏈:6月15日消息，億萬富翁Mark Cuban構建的NFT數字藝術館Lazy.com宣布集成 WAX 區塊鏈，增加用戶購買、出售、交易和創造 NFT 的可訪問性。[2022/6/15 4:27:57]

另外，在與社區開發者Madao和gaojin討論代碼細節的過程中，Madao提到Token產量自動減半的執行需要依賴checkhalve()函數的執行，實際則依賴用戶與合約交互，執行時間無法精準控制到上一個周期的結尾，減半發生時間會與預期時間存在一定的時間差，并且合約減半實際發生時間很大概率晚于預期時間。特別地，合約計算獎勵時會將兩個周期間多出來的時間差計算在內，導致給每個用戶計算的獎勵值會略高于預期值，產生了一定誤差。進而我們發現，只要誤差存在，理論上最后一個從Pool中提取reward的人可能無法正常提現。這是因為合約在減半的同時MintYFIIToken至Pool合約。由于前面誤差的存在，導致合約中用戶賬面收益高于實際Mint出來的Token數量。誤差的大小計算方法為每個周期結束時間與下次減半發生實際發生時間之間的時間差Delta乘以減半后的rewardRate。根據上圖測算，平均延時60秒減半，累計誤差在1個YFII以內。只要能控制時間誤差足夠小，再加上持續有下一周期的Token作為補充，因此該誤差問題影響較小。YFII管理員權限處理

美、布兩油持續走低，日內轉跌:行情顯示，美、布兩油持續走低，日內轉跌，現分別報115.05美元/桶和116.09美元/桶，此前分別漲超2%和1.7%。[2022/6/2 3:57:04]

YFI類Token都存在鑄幣接口，具有mint權限的地址可以增發Token。YFI類Token還存在Governance管理員，具有權限添加和刪除Minter。通常理想情況下這些地址特殊權限地址應該為多簽合約或其他專門合約。另外YearnRewards合約有rewardDistribution權限地址，用于調用notifyRewardAmount()函數設置獎勵金額。YearnRewards合約還存在owner權限地址，用于設置rewardDistribution地址。目前，YFII項目的做法是將YFIIToken的Governance管理員、Pool1和Pool2的rewardDistribution均設為了0地址。管理員權限銷毀記錄可參見https://burn.yfii.finance/。經查驗，管理員權限銷毀屬實。目前只有Pool1和Pool2兩個合約地址具有YFIIToken的mint權限，屬于為了實現周期性減半的必要權限，且未來無法被濫用。特別值得一提地是，原版YFIToken代碼實現中，并未給addMinter()該特權函數添加Event，導致普通用戶無法方便地查看究竟合約有多少minter。當心，這讓各種類YFI項目非常容易藏入后門。經查驗，YFIIToken合約總共只有兩條addMinter()記錄，分別為Pool1和Pool2合約添加mint權限，未引入多余的minter。總結

YFI整體是一次非常有意義的DeFi創新實驗，通過YearnFinance我們看到去中心化的治理代幣分發，充分激發了DeFi社區的挖礦和治理熱情。YFII在YFI的基礎上實現了YIP-8提案，探索了一種可能更公平的治理代幣分發方案，并且短時間在社區內產生了較大影響，發展勢頭驚人。安全建議

隨著流動性挖礦和DeFi產品的火熱，市面上涌現出來各種新型DeFi智能合約，組合性風險劇增。安比實驗室提醒用戶與任何DeFi項目交互時一定要注意安全第一，認清域名、合約地址，仔細審查所有與資金相關的操作，盡量不要與來源不明的智能合約交互。另外，我們應更多關注DeFi產品本身和智能合約安全，分析價值基礎和風險來源，不盲信APR，只投入能夠承受損失的金額。特別提醒，記得用本文中提供的線索自行檢查參與的類YFI項目管理員權限。

Tags：YFITOKTOKETOKENYFIAG幣TokemakDG Tokenimtoken蘋果下載token

萊特幣價格