CertiK：一朝跌落云端，Yam Finance智能合約漏洞事件分析 ?_ANC

紅薯剛種下，就得挖出來了？今日DeFi領域再次發生一起魔幻事件，呼聲極高的紅薯項目一經上線，流動性礦工們就開始瘋狂涌入。短短8個小時內，YamFinance中鎖倉總價值就超過2億美元。COMP挖礦帶動了DeFi產業出圈，而YAM直接帶動了DeFi頭部項目集體上漲，堪稱“一飛沖天”。然而短短36小時內，眼見它高樓起，高樓塌。數億美元因為一個小小的漏洞，消失于無形。本以為反應遲鈍的自己損失了一個億，沒想到保住了自己的五塊錢。

算法穩定幣MITH.CASH超過Balancer躋身鎖倉量排名前十:據DeBank數據顯示，本文撰寫時算法穩定幣MITH.CASH鎖倉量達7.358億美元，超過自動化做市商Balancer，目前位列DeFi協議/項目鎖倉量排行第9位。不過，MITH.CASH鎖倉量距離13.74億美元最高點已有所下跌。MITH.CASH 是派生自Basis Cash算法穩定幣，包括錨定價1美元系統內部穩定幣MIC (Mithril Cash) 和MIS (Mithril Share) ，MIS (Mithril Share) 代幣持有者將成為系統中堅力量，為協議提供資源和指導。作為回報，Mithril Share 代幣持有者將獲得任何進入系統的新貨幣供應。[2021/1/4 16:23:35]

去中心化交易所Balancer通過BAL流動性挖礦治理提案:Balancer協議于北京時間今日凌晨通過社區治理投票，再次修改其流動性挖礦獎金分配方案。Balancer以治理BAL為獎勵為流動性提供者每周發放獎勵。在新通過的提案中，每周14.5萬的BAL獎金（約合350萬美金）中將會有4.5萬（約合108萬美金）分發給BAL其它代幣交易對的流動性提供者。該提案被認為更偏向于以BAL為基礎的流動性池。[2020/8/25]

好好的小紅薯，究竟承受了什么？事件背景

區塊鏈數據智能平臺SixPencer支持合規穩定幣HUSD數據查詢:據官方消息，區塊鏈數據智能平臺SixPencer已經正式支持合規穩定幣HUSD的數據查詢。用戶可以一鍵輕松獲得HUSD相關知識圖譜，同時系統會匹配與搜索詞對應的最佳可視化圖表。目前，平臺已經支持HUSD最新的用戶量、鏈上交易、以及市場數據查詢。

SixPencer是一家區塊鏈數據智能平臺。致力于實現區塊鏈數據智能大眾化，打造一個人人都可通過搜索獲取鏈上數據的開放平臺，通過創新的搜索和分析工具，改變用戶訪問、理解和分析區塊鏈數據的方式。

HUSD是由Stable Universal 發行的合規穩定幣，與美元1:1錨定。HUSD對應的美元資產由美國信托機構托管，由知名的獨立美國審計公司每月對資金進行審計。HUSD團隊竭誠為用戶提供安全、穩定、便捷的數字資產服務。[2020/7/7]

8月12日，YAMFinance官方宣布他們發現了一個智能合約漏洞，并稱該漏洞將生成超出最初設定數量的YAM代幣。在這種情況下，大量的保留代幣將造成治理操作所需的代幣數量過大。這意味著社區將來將沒有足夠的代幣來執行任何治理操作。智能合約漏洞出現在哪里？該漏洞發生在YAM項目智能合約YAM.sol的rebase功能上，如下圖所示：

圖片來源：https://github.com/yam-finance/上圖中的rebase功能應該執行rebase，以保持穩定的價格。但是，有一行代碼在計算totalSupply時，給出了錯誤的結果，這會導致系統保留的代幣數量過多。這行代碼的正確代碼/計算方程形式應類似于以下代碼/方程：totalSupply=initSupply.mul(yamsScalingFactor).div(BASE);那么是否可以在截止日期之前通過治理操作來修復此漏洞？第二次調整是在美國東部時間8月13日凌晨4點。YAMFinance公開宣布，在美東時間凌晨3點之前，他們需要約16萬YAM委托要求才能提交治理提案。如果在投票窗口中得到的委托超過40萬YAM，則該提案將允許用戶將YAM自行轉移或存入儲備池。有一個好消息是，YAM獲得了其社區的大力支持，并且該提案已成功提交。但是，新提交的提案無法在智能合約中運行，所以YAM目前依舊是一個不可管理的狀態。YAM的現狀

YAMFinance目前已經失去了治理能力，75％的流動資金已經從YAM/yCRV未撥出資金池中移出。但是，其余的流動資金將從儲備庫中刪除。據官方消息，Gate.io將為YAMGitcoin捐贈，捐贈資金將被用于對YAM合約進行審計。審計完成后，YAM合約將遷移到YAM2.0。如何避免？

CertiK安全團隊強烈建議：所有區塊鏈項目在正式發布之前不僅需要使用嚴格的軟件測試工具來驗證項目的代碼安全性，更是應該邀請多個第三方區塊鏈安全團隊，做好對區塊鏈項目中代碼的驗證審計工作，并在每次更新代碼后進行重新審計。從而設計一個更好的項目管理系統，以備進行項目緊急更新的需求。

Tags：YAMNCEBALANCYAM幣LMAO FinancekabalDelish Finance

MATIC