一朝跌落云端,Yam Financial智能合约漏洞事件分析 ​

2020-08-14 15:22 栏目:经验之谈 来源:网络整理 查看()

甘薯种植后必须立即挖出?

今天,另一个神奇的事件发生在DeFi领域。非常受欢迎的甘薯项目一启动,流动矿工就开始疯狂地涌入。仅在8小时内,任金融锁定头寸的总价值就超过了2亿美元。COMP矿业将DeFi行业挤出了圈外,而YAM则直接推动了DeFi head项目集体崛起,可谓“腾飞”。

然而,在36小时内,我看到它上升和崩溃。由于一个小漏洞,数亿美元消失了。我以为我反应迟钝,损失了1亿元,但我没想到会保留我的5美元。

好小红薯,它结了什么?

事件背景

8月12日,YAM Finance正式宣布他们发现了一个智能合同漏洞,并表示该漏洞将生成超过原始设置数量的YAM令牌。在这种情况下,大量保留的令牌将导致治理操作所需的令牌数量过多。这意味着社区将来没有足够的令牌来执行任何治理操作。

智能合同的漏洞在哪里?

该漏洞出现在YAM项目智能合同YAM.sol的基础功能中,如下图所示:

一朝跌落云端,Yam Financial智能合约漏洞事件分析 ​

上图中的rebase函数应该执行rebase来维持一个稳定的价格。但是,有一行代码(用蓝色标记)在计算totalSupply时给出了不正确的结果,这将导致系统保留太多令牌。

该代码行的正确代码/计算公式形式应类似于以下代码/公式:

total SupPly=IntSupPly . mul(YamsScalingFactor)。p(BASE);

那么这个漏洞能在截止日期前被治理部门修复吗?

第二次调整是在东部时间8月13日凌晨4点。

任志刚财务已公开宣布,在美国东部时间凌晨3点前,它将需要约16万任志刚佣金要求才能提交治理方案。如果投票窗口中的授权超过400,000个YAM,该提案将允许用户自行将YAM转移或存入储备池。

好消息是,任志刚得到社会人士的大力支持,而建议亦已成功提交。然而,新提交的提案不能在智能合同中运行,因此YAM仍处于无法管理的状态。

山药的现状

目前,任志刚财务已丧失其管治能力,其营运资金的75%已从任志刚/yCRV的未分配资金池中拨出。然而,剩余的流动性将从准备金中删除。

根据官方消息,Gate.io将向YAM Gitcoin捐赠,捐赠的资金将用于审核YAM合同。审核完成后,YAM合同将迁移到YAM2.0。

如何避免它?

CertiK安全团队强烈建议:

所有区块链项目不仅要在正式发布前使用严格的软件测试工具验证项目的代码安全性,还要邀请多个第三方区块链安全团队做好区块链项目的代码验证和审核工作,并在每次更新后重新审核代码。从而设计出更好的项目管理系统,以满足项目更新的迫切需要。

我们不仅仅是在寻找漏洞,而是消除了哪怕只有0.00000001%会被攻击的可能性。

微信二维码
售前客服二维码

文章均源于网络收集编辑侵删

提示:币友交流QQ/WX群请联系客服加入!

郑重申明:资讯文章为网络收集整理,官方公告以外的资讯内容与本站无关!
虚拟币开发,虚拟币交易平台开发,山寨币交易平台开发 Keywords: 虚拟币开发 虚拟币交易平台开发 山寨币交易平台开发