日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
CertiK:一朝跌落云端,YamFinance智能合約漏洞事件分析

紅薯剛種下,就得挖出來(lái)了?

今日DeFi領(lǐng)域再次發(fā)生一起魔幻事件,呼聲極高的紅薯項(xiàng)目一經(jīng)上線,流動(dòng)性礦工們就開(kāi)始瘋狂涌入。短短8個(gè)小時(shí)內(nèi),Yam Finance中鎖倉(cāng)總價(jià)值就超過(guò)2億美元。COMP挖礦帶動(dòng)了DeFi產(chǎn)業(yè)出圈,而YAM直接帶動(dòng)了DeFi頭部項(xiàng)目集體上漲,堪稱“一飛沖天”。

然而短短36小時(shí)內(nèi),眼見(jiàn)它高樓起,高樓塌。數(shù)億美元因?yàn)橐粋€(gè)小小的漏洞,消失于無(wú)形。本以為反應(yīng)遲鈍的自己損失了一個(gè)億,沒(méi)想到保住了自己的五塊錢。

好好的小紅薯,究竟承受了什么?

事件背景

8月12日,YAM Finance官方宣布他們發(fā)現(xiàn)了一個(gè)智能合約漏洞,并稱該漏洞將生成超出最初設(shè)定數(shù)量的YAM代幣。在這種情況下,大量的保留代幣將造成治理操作所需的代幣數(shù)量過(guò)大。這意味著社區(qū)將來(lái)將沒(méi)有足夠的代幣來(lái)執(zhí)行任何治理操作。

智能合約漏洞出現(xiàn)在哪里?

該漏洞發(fā)生在YAM項(xiàng)目智能合約YAM.sol的rebase功能上,如下圖所示:

圖片來(lái)源:

https://github.com/yam-finance/yam-protocol/blob/767e3a4a6918b6fb6100ad6bb356164408f5d82f/contracts/token/YAM.sol#L340

上圖中的rebase功能應(yīng)該執(zhí)行rebase,以保持穩(wěn)定的價(jià)格。但是,有一行代碼(已標(biāo)注藍(lán)色)在計(jì)算totalSupply時(shí),給出了錯(cuò)誤的結(jié)果,這會(huì)導(dǎo)致系統(tǒng)保留的代幣數(shù)量過(guò)多。

這行代碼的正確代碼/計(jì)算方程形式應(yīng)類似于以下代碼/方程:

 
 
 
 
    
  
  
  
  
  1. totalSupply =initSupply.mul(yamsScalingFactor).div(BASE);
    2.

那么是否可以在截止日期之前通過(guò)治理操作來(lái)修復(fù)此漏洞?

第二次調(diào)整是在美國(guó)東部時(shí)間8月13日凌晨4點(diǎn)。

YAM Finance公開(kāi)宣布,在美東時(shí)間凌晨3點(diǎn)之前,他們需要約16萬(wàn)YAM委托要求才能提交治理提案。如果在投票窗口中得到的委托超過(guò)40萬(wàn)YAM,則該提案將允許用戶將YAM自行轉(zhuǎn)移或存入儲(chǔ)備池。

有一個(gè)好消息是,YAM獲得了其社區(qū)的大力支持,并且該提案已成功提交。但是,新提交的提案無(wú)法在智能合約中運(yùn)行,所以YAM目前依舊是一個(gè)不可管理的狀態(tài)。

YAM的現(xiàn)狀

YAM Finance目前已經(jīng)失去了治理能力,75%的流動(dòng)資金已經(jīng)從YAM / yCRV未撥出資金池中移出。但是,其余的流動(dòng)資金將從儲(chǔ)備庫(kù)中刪除。

據(jù)官方消息,Gate.io將為YAM Gitcoin捐贈(zèng),捐贈(zèng)資金將被用于對(duì)YAM合約進(jìn)行審計(jì)。審計(jì)完成后,YAM合約將遷移到Y(jié)AM2.0。

如何避免?

所有區(qū)塊鏈項(xiàng)目在正式發(fā)布之前不僅需要使用嚴(yán)格的軟件測(cè)試工具來(lái)驗(yàn)證項(xiàng)目的代碼安全性,更是應(yīng)該邀請(qǐng)多個(gè)第三方區(qū)塊鏈安全團(tuán)隊(duì),做好對(duì)區(qū)塊鏈項(xiàng)目中代碼的驗(yàn)證審計(jì)工作,并在每次更新代碼后進(jìn)行重新審計(jì)。從而設(shè)計(jì)一個(gè)更好的項(xiàng)目管理系統(tǒng),以備進(jìn)行項(xiàng)目緊急更新的需求。

我們絕不僅僅是尋找漏洞,而是要消除哪怕只有0.00000001%被攻擊的可能性。


當(dāng)前文章:CertiK:一朝跌落云端,YamFinance智能合約漏洞事件分析
分享路徑:http://www.dlmjj.cn/article/ccccscp.html