Yearn 披露一個杠桿式 COMP 挖礦策略中的漏洞，目前已修復_CRV

鏈聞消息，收益聚合器yearn.finance的核心開發者banteg披露了一個可能導致用戶資金重大損失的漏洞，并表示該漏洞目前已修復，沒有造成資金損失。該漏洞由安全研究員xyzaudits發現并按照漏洞披露流程聯系了Yearn的安全團隊，Yearn團隊優先從可能受影響的合約中移除資金，然后驗證漏洞并創建修復程序，從而阻止第三方啟動閃貸，消除了使用虛假數字的機會。Yearn安全團隊決定給xyzaudits頒發20萬美元的漏洞賞金。Yearn表示，該漏洞是Yearn的yvDAI機槍池附加了兩個可能受影響的GenLevComp杠桿策略，如果被成功利用，攻擊者將能夠清算受影響策略在Compound上的全部債務頭寸，并有可能獲得清算費用。

Yearn網站引入新功能以提高針對“中間人”攻擊的安全性:5月9日，據官方消息，Yearn網站引入新功能“Yearn Allowlist（許可名單）”，以提高針對“中間人”攻擊的安全性。[2022/5/10 3:01:52]

yearn.finance宣布推出yVault產品線新品yvBOOST:yearn.finance宣布推出yVault產品線的新品yvBOOST，允許用戶將從yveCRV vault賺取的3Crv售出為CRV并存回該vault，增加yvBOOST的yveCRV余額。

通過該vault，用戶將獲得長期CRV的復利敞口，同時隨著時間的推移，通過Curve Finance策略，用戶將增加所有Yearn vault的收益。

官方表示，為了創造流動性，已在SushiSwap上創建了yvBOOST-ETH池。目前的yveCRV-ETH池將遷移到yvBOOST-ETH，團隊將發布一個工具幫助用戶進行遷移。

具體存款方案如下：- 向yveCRV存款每周獲得3Crv分發；- 向yvBOOST存款每周獲得CRV長期復利敞口；- 向yvBOOST-ETH池存款獲得高收益；- 向yvBOOST存款并開始賺取收益。[2021/5/1 21:16:37]

Yearn創始人：最近的審計意味著Yearn項目并非100%安全:金色財經報道，Yearn.Finance創始人Andre Cronje最近公開了該項目的安全審計。他解釋稱，之所以此前未公布這些幾個月前完成的審計，是為了不讓用戶產生錯誤的安全感。據悉，Cronje昨日在該項目的GitHub存儲庫上發布了五項審計，于2月至7月之間由Certik和等主要審計機構執行。其中已發現的某些漏洞被歸類為“嚴重”。如Certik識別出一個重大漏洞，在相當普遍的情況下，該漏洞可能會暫時阻止用戶提取所有資金。對此，Cronje解釋說，盡管這是設計選擇，但仍然是一個漏洞，如果用戶放貸，借入的資產會多于可收回的流動性。此外，他表示，其他主要的DeFi項目（例如Compound和Aave）同樣也存在這項漏洞。[2020/8/21]

Tags：EARNYEACRVBOOSTYearn Finance Networkyea幣兌換crv幣還有上漲空間嗎boostcoin

DYDX