BTC/HKD-0.28%
ETH/HKD+0.52%
LTC/HKD-0.2%
DOT/HKD-1.18%
ADA/HKD-0.55%
SOL/HKD-0.4%
XRP/HKD-0.88%
DOGE/US-0.73%本文來源:慢霧科技
作者:?yudan@?慢霧安全團隊
前言
整個事件的分析如上圖,由于?rebase?的時候取的是上一次的totalSupply的值,所以計算錯誤的totalSupply的值并不會立即通過mint作用到initSupply上,所以在下一次rebase?前,社區仍有機會挽回這個錯誤,減少損失。但是一旦下一次?rebase?執行,整個失誤將會變得無法挽回。
通過查詢Etherscan上YAM代幣合約的相關信息,可以看到totalSupply已經到了一個非常大的值,而initSupply還未受到影響。
前車之鑒
這次事件中官方已經給出了具體的修復方案,這里不再贅述。這次的事件充分暴露了未經審計DeFi合約中隱藏的巨大風險,雖然YAM開發者已經在Github中表明YAM合約的很多代碼是參考了經過充分審計的DeFi項目如Compound、Ampleforth、Synthetix及YEarn/YFI,但是仍無可避免地發生了意料之外的風險。
DeFi項目YamFinance核心開發者belmore在推特上表示:“對不起,大家。我失敗了。謝謝你們今天的大力支持。我太難過了。”,但是覆水已經難收,在此,慢霧安全團隊給出如下建議:
1、由于DeFi合約的高度復雜性,任何DeFi項目都需在經過專業的安全團隊充分審計后再進行上線,降低合約發生意外的風險?。審計可聯系慢霧安全團隊
2、項目中去中心化治理應循序漸進,在項目開始階段,需要設置適當的權限以防發生黑天鵝事件。
Tags:INTRESYAMSERpointpay幣最新消息Imperium Empiresyam幣還有機會嗎Era Name Service
作者:RahulN. 翻譯:Liam 比特幣等主要加密貨幣依然保持著主導地位,但穩定幣似乎也在不斷壯大。而且它們在主流區塊鏈上的交易量也越來越大.
1900/1/1 0:00:00轉自:藍狐筆記 YFI?在DeFi領域獲得了巨大關注,不過這只是開局,它已經在籌劃V2。關于YFI可以參考藍狐筆記之前的文章《YFI:DeFi中的BTC?》YFI?V2的目標是V1的延續YFI之.
1900/1/1 0:00:00比特幣近來一直在增長,這與股票的增長形成步調一致。但事實上,加密貨幣與主要的華爾街股票指數正在脫鉤。過去一段時間,比特幣與股票市場的關聯度較高,尤其是在新冠肺炎大流行爆發期.
1900/1/1 0:00:00去中心化加密貨幣交易所IDEX在IDEX2.0發布之前籌集了250萬美元的種子資金。該輪融資由G1Ventures和BorderlessCapital牽頭,ColliderVentures和以太.
1900/1/1 0:00:00昨天,分叉BCH成了幣圈最熱鬧的話題。主角是楊海坡,大家也喜歡叫他海洋,他是ViaBTC礦池和CoinEx交易所創始人.
1900/1/1 0:00:00據CryptoSlate8月10日報道,最近有很多關于ETH供應量的爭議,比特幣的支持者們批評了追蹤以太坊數據的網站中的數據無法與流通中的ETH的確切供應量相匹配.
1900/1/1 0:00:00
比特幣交易所
;}}//SlowMist//問題代碼totalSupply=initSupply</p>
<p> }</p>
<p> <b>通過分析最終的?</b></p>
<p> rebase?函數的邏輯,不難發現代碼中根據yamsScalingFactor來對totalSupply進行調整,由于yamsScalingFactor是一個高精度的值,在調整完成后應當除以BASE來去除計算過程中的精度,獲得正確的值。但是項目方在對totalSupply進行調整時,竟忘記了對計算結果進行調整,導致了totalSupply意外變大,計算出錯誤的結果。</p>
<p> 分析到這里還沒結束,要將漏洞和社區治理關聯起來,需要對代碼進行進一步的分析。通過觀察?rebase?函數的修飾器,不難發現此處限定了只能是rebaser進行調用。而rebaser是YAM中用與實現供應量相關邏輯的合約,也就是說,是rebaser合約最終調用了YAM</p>
<p> Lithium Finance將為借貸平臺Credefi提供預言機服務:8月17日消息,私有資產數據預言機協議Lithium Finance宣布與去中心化借貸平臺Credefi達成合作,Credefi將加入成為Lithium網絡的智慧追求者(WisdomSeeker),Credefi用戶能夠從中獲得準確的抵押品定價信息。 </p>
<p> Lithium表示,其數據將幫助Credefi上的貸方能夠更全面地評估借款人的抵押品及其風險狀況。Lithium Finance利用集體智慧機制為Pre-IPO股票、私募股權等難以估值的現實世界資產定價。[2021/8/17 22:19:39]</p>
<p> //SlowMist//取當前YAM代幣的供應量uint256currSupply=yam</p>
<p> //rebase//SlowMist//調用YAM的rebase邏輯uint256supplyAfterRebase=yam</p>
<p> 通過分析代碼,可以發現函數在進行了一系列的檢查后,首先獲取了當前YAM的供應量,計算此次的鑄幣數量,然后再調用YAM</p>
<p> <b>}}}</b></p>
<p> 通過分析發現,afterRebase函數主要的邏輯在buyReserveAndTransfer函數中,此函數用于將增發出來的代幣的一部分用于到Uniswap中購買yCRV代幣。跟蹤buyReserveAndTransfer函數,代碼如下:</p>
<p> DeFi協議Convergence Finance公布IDO白名單抽簽結果:DeFi協議Convergence Finance公布IDO白名單抽簽結果,已通過KYC@conv.finance向1000多名社區成員發送郵件,中簽者需要在收到電子郵件后48小時內完成KYC。Convergence將于3月25日在Polkastarter進行IDO。[2021/3/21 19:05:19]</p>
<p> functionbuyReserveAndTransfer(</p>
<p> uint256mintAmount,</p>
<p> uint256offPegPerc</p>
<p> )</p>
<p> <b>internal</b></p>
<p> {</p>
<p> UniswapPairpair=UniswapPair(uniswap_pair);</p>
<p> YAMTokenInterfaceyam=YAMTokenInterface(yamAddress);</p>
<p> //getreserves(uint256token0Reserves,uint256token1Reserves,)=pair</p>
<p> else{if(tokens_to_max_slippage>excess){//uniswapcanhandleentirereservesuint256buyTokens=getAmountOut(tokens_to_max_slippage,token0Reserves,token1Reserves);</p>
<p> Gate.io發布關于GateChain安全DeFi生態系統的說明,GT暴漲20%:據官方公告,Gate.io發布了關于GateChain安全DeFi生態系統的說明,并將投入重金打造一個安全的GateChain去中心化金融DeFi生態系統。其中包括:跨鏈系統,去中心化穩定幣(USDG),去中心化交易,去中心化借貸,流動性挖礦等重要內容。GT將成為這個生態系統的核心成員,GT將被用于抵押產生穩定幣(USDG),獎勵流動性挖礦,治理投票等生態核心環節。公告發布后,Gate.io平臺幣GT幣價暴漲20%,24小時最高漲幅達20%。詳情見原文鏈接。[2020/8/15]</p>
<p> //swapuptoslippagelimit,takingentireyamreserves,andmintingpartoftotal//SlowMist//將多余代幣鑄給reserves合約uniVars</p>
<p> else{//uniswapcanthandleallofexcessuint256buyTokens=getAmountOut(tokens_to_max_slippage,token0Reserves,token1Reserves);uniVars</p>
<p> }}else{if(tokens_to_max_slippage>mintAmount</p>
<p> 幣贏CoinW平臺DeFi幣種今日普漲 LID領漲:據幣贏行情數據顯示,截止今日10:00(GMT+8),平臺內DeFi幣種今日普漲,LID領漲,今日漲幅為111.11%,現價0.0771USDT;DXD今日漲幅71.99%,現價200.7963USDT;MINI今日漲幅39.96%,現價0.0899USDT;DIP今日漲幅為39.87%,現價0.027USDT。行情波動較大,請注意風險控制。[2020/8/11]</p>
<p> else{if(tokens_to_max_slippage>excess){//uniswapcanhandleentirereservesuint256buyTokens=getAmountOut(tokens_to_max_slippage,token1Reserves,token0Reserves);</p>
<p> //swapuptoslippagelimit,takingentireyamreserves,andmintingpartoftotal//SlowMist//增發的多余的代幣給reserves合約uniVars</p>
<p> else{//uniswapcanthandleallofexcessuint256buyTokens=getAmountOut(tokens_to_max_slippage,token1Reserves,token0Reserves);uniVars</p>
<p> 動態 | Messari:2019年DeFi回報率最高可達250%:加密貨幣研究公司Messari的一個研究記過顯示,如果在2019年初在四個主要的DeFi領域投資400美元,年底將獲得1400美元的回報,回報率超過了250%。而根據defipulse.com的數據,迄今為止,鎖定在DeFi中的美元總價值增長了近200%,本周三創下7.1億美元的歷史新高之后,目前約為6.6億美元。以太坊仍然占據著主導地位,新記錄不斷被打破。目前,鎖定在DeFi中的ETH數量達到了310萬的歷史新高,這大約占總供應量的2.85%。[2020/1/11]</p>
<p> <b>}}}</b></p>
<p> 通過對代碼分析,buyReserveAndTransfer首先會計算在Uniswap中用于兌換yCRV的YAM的數量,如果該數量少于YAM的鑄幣數量,則會將多余的增發的YAM幣給reserves合約,這一步是通過Uniswap合約調用?</p>
<p> rebase?合約的uniswapV2Call函數實現的,具體的代碼如下:</p>
<p> functionuniswapV2Call(</p>
<p> addresssender,</p>
<p> uint256amount0,</p>
<p> uint256amount1,</p>
<p> bytesmemorydata</p>
<p> )</p>
<p> <b>public</b></p>
<p> {</p>
<p> //enforcethatitiscomingfromuniswap</p>
<p> <b>require(msg</b></p>
<p> }else{//minttouniswapyam</p>
<p> //mintunsoldtomintAmount//SlowMist//將多余的YAM代幣分發給reserves合約if(uniVars</p>
<p> //transferreservetokentoreservesif(isToken0){SafeERC20</p>
<p> else{SafeERC20</p>
<p> }</p>
<p> 分析到這里,一個完整的?</p>
<p> rebase?流程就完成了,你可能看得很懵,我們用簡單的流程圖簡化下:</p>
<p> <img alt=)