BTCV繁华资讯 > 货币新闻 > 首次发布|一旦落入云端任金融智能合同漏洞事件

首次发布|一旦落入云端任金融智能合同漏洞事件

作者:_btcv-繁华资讯来源:_btcv-繁华资讯 货币新闻 2020年08月14日

甘薯一种下,就必须挖出来?今天,另一个神奇的事件发生在DeFi领域。非常受欢迎的甘薯项目一启动,流动矿工就开始疯狂地涌入。仅在8小时内,亚美金融锁定头寸的总价值就超过了2亿美元。COMP矿业已经将DeFi行业挤出了这个圈子,而YAM则直接将d。

首发 | 一朝跌落云端 Yam  Financial智能合约漏洞事件分析

甘薯种植后必须立即挖出?

今天,另一个神奇的事件发生在DeFi领域。非常受欢迎的甘薯项目一启动,流动矿工就开始疯狂地涌入。仅在8小时内,任金融锁定头寸的总价值就超过了2亿美元。COMP矿业将DeFi行业挤出了圈外,而YAM则直接推动了DeFi head项目集体崛起,可谓“腾飞”。

然而,在36小时内,我看到它上升和崩溃。由于一个小漏洞,数亿美元消失了。我以为我反应迟钝,损失了1亿元,但我没想到会保留我的5美元。

首发 | 一朝跌落云端 Yam  Financial智能合约漏洞事件分析

好小红薯,它结了什么?

事件背景

8月12日,YAM Finance正式宣布他们发现了一个智能合同漏洞,并表示该漏洞将生成超过原始设置数量的YAM令牌。在这种情况下,大量保留的令牌将导致治理操作所需的令牌数量过多。这意味着社区将来没有足够的令牌来执行任何治理操作。

智能合约漏洞出现在哪里?

该漏洞出现在YAM项目智能合同YAM.sol的基础功能中,如下图所示:

首发 | 一朝跌落云端 Yam  Financial智能合约漏洞事件分析

图像源:

https://github.com/yam-finance/yam-protocol/blob/767 E3 a4 a 6918 b 6 FB 6100 ad 6 bb 356164408 F5 d 82 f/contracts/token/YAM . sol # L340

上图中的rebase函数应该执行rebase来维持一个稳定的价格。但是,有一行代码(用蓝色标记)在计算totalSupply时给出了不正确的结果,这将导致系统保留太多令牌。

该代码行的正确代码/计算公式形式应类似于以下代码/公式:

total SupPly=IntSupPly . mul(YamsScalingFactor)。div(BASE);

那么是否可以在截止日期之前通过治理操作来修复此漏洞?

第二次调整是在东部时间8月13日凌晨4点。

任志刚财务已公开宣布,在美国东部时间凌晨3点前,它需要约16万任志刚佣金要求才能提交治理方案。如果投票窗口中的授权超过400,000个YAM,该提案将允许用户自行将YAM转移或存入储备池。

好消息是,任志刚得到社会人士的大力支持,而建议亦已成功提交。然而,新提交的提案无法在智能合约中运行,的任志刚仍然处于无法控制的状态。

YAM的现状

目前,任志刚财务已丧失其管治能力,其营运资金的75%已从任志刚/yCRV的未分配资金池中拨出。然而,剩余的流动性将从准备金中删除。

根据官方消息,Gate.io将向YAM Gitcoin捐赠,捐赠的资金将用于审核YAM合同。审核完成后,YAM合同将迁移到YAM2.0。

如何避免?

CertiK安全团队强烈建议:

所有区块链项目不仅要在正式发布前使用严格的软件测试工具验证项目的代码安全性,还要邀请多个第三方区块链安全团队做好区块链项目的代码验证和审核工作,并在每次更新后重新审核代码。从而设计出更好的项目管理系统,以满足项目更新的迫切需要。

标签: btcv交易平台