首發 | 一朝跌落云端 Yam Financial智能合約漏洞事件分析 ?_YAM

紅薯剛種下，就得挖出來了？

今日DeFi領域再次發生一起魔幻事件，呼聲極高的紅薯項目一經上線，流動性礦工們就開始瘋狂涌入。短短8個小時內，Yam Finance中鎖倉總價值就超過2億美元。COMP挖礦帶動了DeFi產業出圈，而YAM直接帶動了DeFi頭部項目集體上漲，堪稱“一飛沖天”。

然而短短36小時內，眼見它高樓起，高樓塌。數億美元因為一個小小的漏洞，消失于無形。本以為反應遲鈍的自己損失了一個億，沒想到保住了自己的五塊錢。

LBank藍貝殼于4月9日16:50首發 BOSON:據官方公告，4月9日16:50，LBank藍貝殼首發BOSON(Boson Protocol)，開放USDT交易，4月9日16:00開放充值，4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。

LBank藍貝殼于4月9日16:50開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ，可按凈充值量獲得等值1%的BOSON的USDT空投獎勵；交易賽將根據用戶的BOSON交易量進行排名，前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/9 20:02:26]

首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊，近日，DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞，攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息，嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件，DVP安全團隊在收到該漏洞后，第一時間通知該平臺進行修復，但未收到回應。DVP提醒相關用戶關注個人信息安全，以免造成損失。[2019/8/13]

好好的小紅薯，究竟承受了什么？

事件背景

8月12日，YAM Finance官方宣布他們發現了一個智能合約漏洞，并稱該漏洞將生成超出最初設定數量的YAM代幣。在這種情況下，大量的保留代幣將造成治理操作所需的代幣數量過大。這意味著社區將來將沒有足夠的代幣來執行任何治理操作。

首發 | 百度推動246家博物館線上藏品上鏈:金色財經訊，近日，百度超級鏈聯合百度百科，基于區塊鏈技術創建 “文博藝術鏈”，推動百科博物館計劃中的246家博物館線上藏品上鏈。基于“文博藝術鏈”，百度將與博物館共同推動線上藏品版權的確權與維護，同時探索線上藏品版權數字化交易方式，為合作的博物館提供更全面的服務和更多的權益。據介紹，此項目將分階段進行，一期將完成線上藏品的入鏈確權，為每一件藏品生產專屬的版權存證證書。讓每一名用戶可以在百度百科博物館計劃的PC端和WAP端的藏品頁查看證書。后續，百度還將推動AI與區塊鏈技術在文博領域的結合應用，用來保障上鏈數據與藏品相匹配，為后續進行藏品圖像版權數字化交易奠定基礎。[2019/1/30]

智能合約漏洞出現在哪里？

該漏洞發生在YAM項目智能合約YAM.sol的rebase功能上，如下圖所示：

圖片來源: 

https://github.com/yam-finance/yam-protocol/blob/767e3a4a6918b6fb6100ad6bb356164408f5d82f/contracts/token/YAM.sol#L340

上圖中的rebase功能應該執行rebase，以保持穩定的價格。但是，有一行代碼（已標注藍色）在計算totalSupply時，給出了錯誤的結果，這會導致系統保留的代幣數量過多。

這行代碼的正確代碼/計算方程形式應類似于以下代碼/方程：

totalSupply =initSupply.mul(yamsScalingFactor).div(BASE);

那么是否可以在截止日期之前通過治理操作來修復此漏洞？

第二次調整是在美國東部時間8月13日凌晨4點。

YAM Finance公開宣布，在美東時間凌晨3點之前，他們需要約16萬YAM委托要求才能提交治理提案。如果在投票窗口中得到的委托超過40萬YAM，則該提案將允許用戶將YAM自行轉移或存入儲備池。 

有一個好消息是，YAM獲得了其社區的大力支持，并且該提案已成功提交。但是，新提交的提案無法在智能合約中運行，所以YAM目前依舊是一個不可管理的狀態。

YAM的現狀

YAM Finance目前已經失去了治理能力，75％的流動資金已經從YAM / yCRV未撥出資金池中移出。但是，其余的流動資金將從儲備庫中刪除。

據官方消息，Gate.io將為YAM Gitcoin捐贈，捐贈資金將被用于對YAM合約進行審計。審計完成后，YAM合約將遷移到YAM2.0。

如何避免？

CertiK安全團隊強烈建議：

所有區塊鏈項目在正式發布之前不僅需要使用嚴格的軟件測試工具來驗證項目的代碼安全性，更是應該邀請多個第三方區塊鏈安全團隊，做好對區塊鏈項目中代碼的驗證審計工作，并在每次更新代碼后進行重新審計。從而設計一個更好的項目管理系統，以備進行項目緊急更新的需求。

Tags：YAMSONBOSONBOSYAMV2boson幣v2boson幣項目方是那的BBOS

fil幣價格今日行情