安?實驗室發布「YFII流動性挖礦合約安全性研究」，所涉四項合約未包含致命安全漏洞_YFI

YFII是一個新型去中心化DeFi礦池，應社區小伙伴邀請，安比實驗室于2020年7月27日至8月2日對YFII智能合約進行了安全性研究。分析對象為下列合約：YFIIPool1:0xb81D3cB2708530ea990a287142b82D058725C092YFIIPool2:0xAFfcD3D45cEF58B1DfA773463824c6F6bB0Dc13aYFIIToken:0xa1d0E215a23d7030842FC67cE582a6aFa3CCaB83BPTToken:0x16cAC1403377978644e78769Daa49d8f6B6CF565初步分析結果表明，以上四個合約并未包含致命安全漏洞。安比實驗室希望通過本文對研究過程做一個記錄和總結，Token價格、經濟模型、其他外部合約模塊、以及未來新的合約不在本文討論內。YFII和YFI是什么

YearnFinance是一個DeFi收益聚合器，于7月17日推出治理TokenYFI后因其新穎的分發機制和治理方案迅速引爆了流動性挖礦市場。而YFII是對YFI項目的分叉，遵循YIP-8，實施了類似比特幣的減半機制。YFII相對YFI做了哪些改動

V神高度重視的這個以太坊重要升級，或將開啟Web3大爆發時代:4月17日消息，以太坊聯合創始人Vitalik Buterin3月曾發文稱，自托管非常重要，社交恢復和多重簽名是實現這一目標的好方法。并表示在加密支付方面使用ERC-4337賬戶抽象錢包會更加便利。[2023/4/17 14:08:29]

目前，YFII合約代碼均直接Fork自YearnFinance，做了較小的改動以支持YFIIToken的定期減半分發。下表為YFII涉及的合約與YFI合約對應關系及地址。

YFI/YFIIToken為項目治理Token合約，二者實現一致，具體為一個帶mint和簡單governance功能的標準ERC-20Token。BPTToken為BalancerPoolToken合約，是做市商的流動性證明Token，實際由自動做市協議Balancer的BFactory入口合約創建，因此二者實現完全一致。該合約代碼此前由TrailofBits和ConsensysDiligence進行過審計。Pool1和Pool2是用于分發治理Token的流動性挖礦合約，Pool1和Pool2的代碼實現一致，均被稱為YearnRewards合約，而YFII相對于YFI的改動即在這該合約中。YFIIPool1和Pool2合約相對于原始代碼新增了checkStart()和checkhalve()兩個修飾符函數，分別用于控制挖礦開始時間，和治理Token周期性地產量減半。YFII&YFI核心合約簡析

美國議員重新引入《加密資產環境透明度法案》，要求加密礦工披露電力消耗及排放量:3月4日消息，美國參議員Edward J. Markey和眾議員Jared Huffman宣布重新引入《加密資產環境透明度法案》，要求加密貨幣礦工披露其電力消耗超過5兆瓦的運營排放，并要求環境保護署（EPA）報告加密貨幣挖礦影響。

下周，參議員Markey將主持有史以來第一次參議院聽證會，重點是打擊加密采礦對環境日益嚴重的影響的迫切需要。在題為“加密資產采礦的空氣、氣候和環境影響”的聽證會上，參議員Markey將與專家就加密行業的能源消耗、加密排放的環境后果、加密采礦的替代方案以及行業領導者提出的主張進行對話。

據悉，去年12月，參議員Markey提出了一項《加密資產環境透明度法案》，要求加密礦業公司承擔責任，并減少其破壞美國氣候變化努力的能源密集型業務。[2023/3/4 12:41:58]

YFII和YFI流動性挖礦的核心合約代碼YearnRewards實際源自于Synthetix項目的Unipool，原本用于獎勵在Uniswap上為ETH/sETH交易對提供流動性的做市商SNXToken，該代碼之前經過SigmaPrime審計。基于YearnRewards的流動性挖礦整個流程可以分為以下幾步：具有RewardDistribution權限的地址，預先通過調用YearnRewards合約的notifyRewardAmount()函數，設置獎勵數額，而對應金額的YFIToken應由YFIminter轉入YearnRewards合約中。礦工向YearnRewards合約指定的目標DeFi合約提供流動性，拿到對應的流動性證明Token，該Token可以用于換回資產以及賺取利息或手續費收益。礦工將得到的PoolToken通過調用stake()函數存入YearnRewards合約中，合約自動根據Stake時長和礦工存入資金規模占資金池總規模的大小來計算礦工應得的獎勵。礦工可隨時提走自己的應有獎勵以及之前存入的PoolToken。通常一個YearnRewards合約專門用于單個特定DeFi項目的流動性挖礦，如Pool1對接Curve項目的y池，Pool2對接Balancer上的YFI-DAIPool。一些發現

Coinbase股票價格再創新低，較發行價已下跌近90%:12月10日消息，行情顯示，今晨Coinbase股票COIN價格一度下跌至40.18美元，再創歷史新低。

收盤時，COIN價格略回升至40.24美元，較發行價381美元已下降近90%。昨日消息，瑞穗銀行將Coinbase股票的評級從中性下調至表現不佳的，并將其目標價從42美元下調至30美元。[2022/12/10 21:35:20]

前面提到YFII相對于YFI的改動，代碼改動整體較小。新增兩個修飾器函數用于約束stake()withdraw()getReward()三個主要功能函數。

notifyRewardAmount()函數中新增了一行代碼，用于在notify的同時直接控制YFIToken合約mint指定數量的Token到當前YearnRewards合約，將其作為獎勵用于分發。因此，Pool1和Pool2合約必須是YFIIToken合約的minter。這讓YFII與YFI在Token分發細節邏輯上稍有不同。YFI每期獎勵的分發都需要由特定地址負責設置金額并轉入Token。而YFII除了第一期開始前執行了notifyRewardAmount()操作，之后會隨著用戶的調用，產量自動定期減半。

SushiSwap擬議未來四年新CEO或將獲得約1060萬美元的收入:7月30日消息，據TheDefiant對薪酬方案的分析，SushiSwap擬議未來四年新CEO Jonathan Howard可能會獲得SushiSwap分配給員工的SUSHI總數的三分之一，如果使用當前的價格，將工資、SUSHI保障和激勵因素加起來，可能價值約1060萬美元。關于該提案的投票將截至8月4日，目前民意調查已經獲得125票，其中57%的人贊成Howard成為新任CEO。

此前報道，SushiSwap社區提議聘請Big Head Club聯創擔任CEO。[2022/7/30 2:47:47]

另外，在與社區開發者Madao和gaojin討論代碼細節的過程中，Madao提到Token產量自動減半的執行需要依賴checkhalve()函數的執行，實際則依賴用戶與合約交互，執行時間無法精準控制到上一個周期的結尾，減半發生時間會與預期時間存在一定的時間差，并且合約減半實際發生時間很大概率晚于預期時間。特別地，合約計算獎勵時會將兩個周期間多出來的時間差計算在內，導致給每個用戶計算的獎勵值會略高于預期值，產生了一定誤差。進而我們發現，只要誤差存在，理論上最后一個從Pool中提取reward的人可能無法正常提現。這是因為合約在減半的同時MintYFIIToken至Pool合約。由于前面誤差的存在，導致合約中用戶賬面收益高于實際Mint出來的Token數量。誤差的大小計算方法為每個周期結束時間與下次減半發生實際發生時間之間的時間差Delta乘以減半后的rewardRate。根據上圖測算，平均延時60秒減半，累計誤差在1個YFII以內。只要能控制時間誤差足夠小，再加上持續有下一周期的Token作為補充，因此該誤差問題影響較小。YFII管理員權限處理

前門羅幣主要開發者Riccardo Spagni將于7月5日向美國法警局自首:金色財經消息，據周四提交給田納西州中區的法庭文件，門羅幣（Monero）前主要開發者、表情符號用戶名項目Yat聯合創始人Riccardo Spagni將于7月5日向美國司法部下屬部門法警局自首，以便被引渡到南非，他將在南非面臨欺詐指控。南非官員指控Spagni對他的前雇主Cape Cookies進行了10萬美元的發票欺詐。在2021年初面臨審判時，Riccardo Spagni從南非逃往美國，隨后于8月份在田納西州Nashville被捕。（cointelegraph）[2022/7/1 1:43:20]

YFI類Token都存在鑄幣接口，具有mint權限的地址可以增發Token。YFI類Token還存在Governance管理員，具有權限添加和刪除Minter。通常理想情況下這些地址特殊權限地址應該為多簽合約或其他專門合約。另外YearnRewards合約有rewardDistribution權限地址，用于調用notifyRewardAmount()函數設置獎勵金額。YearnRewards合約還存在owner權限地址，用于設置rewardDistribution地址。目前，YFII項目的做法是將YFIIToken的Governance管理員、Pool1和Pool2的rewardDistribution均設為了0地址。管理員權限銷毀記錄可參見https://burn.yfii.finance/。經查驗，管理員權限銷毀屬實。目前只有Pool1和Pool2兩個合約地址具有YFIIToken的mint權限，屬于為了實現周期性減半的必要權限，且未來無法被濫用。特別值得一提地是，原版YFIToken代碼實現中，并未給addMinter()該特權函數添加Event，導致普通用戶無法方便地查看究竟合約有多少minter。當心，這讓各種類YFI項目非常容易藏入后門。經查驗，YFIIToken合約總共只有兩條addMinter()記錄，分別為Pool1和Pool2合約添加mint權限，未引入多余的minter。總結

YFI整體是一次非常有意義的DeFi創新實驗，通過YearnFinance我們看到去中心化的治理代幣分發，充分激發了DeFi社區的挖礦和治理熱情。YFII在YFI的基礎上實現了YIP-8提案，探索了一種可能更公平的治理代幣分發方案，并且短時間在社區內產生了較大影響，發展勢頭驚人。安全建議

隨著流動性挖礦和DeFi產品的火熱，市面上涌現出來各種新型DeFi智能合約，組合性風險劇增。安比實驗室提醒用戶與任何DeFi項目交互時一定要注意安全第一，認清域名、合約地址，仔細審查所有與資金相關的操作，盡量不要與來源不明的智能合約交互。另外，我們應更多關注DeFi產品本身和智能合約安全，分析價值基礎和風險來源，不盲信APR，只投入能夠承受損失的金額。特別提醒，記得用本文中提供的線索自行檢查參與的類YFI項目管理員權限。

Tags：YFIKENTOKETOKENYFIOShell TokenBtcdo TokenCoinEx Token

世界幣