安?實驗室發布「YFII流動性挖礦合約安全性研究」，所涉四項合約未包含致命安全漏洞_YFI:BraveToken

YFII是一個新型去中心化DeFi礦池，應社區小伙伴邀請，安比實驗室于2020年7月27日至8月2日對YFII智能合約進行了安全性研究。分析對象為下列合約：YFIIPool1:0xb81D3cB2708530ea990a287142b82D058725C092YFIIPool2:0xAFfcD3D45cEF58B1DfA773463824c6F6bB0Dc13aYFIIToken:0xa1d0E215a23d7030842FC67cE582a6aFa3CCaB83BPTToken:0x16cAC1403377978644e78769Daa49d8f6B6CF565初步分析結果表明，以上四個合約并未包含致命安全漏洞。安比實驗室希望通過本文對研究過程做一個記錄和總結，Token價格、經濟模型、其他外部合約模塊、以及未來新的合約不在本文討論內。YFII和YFI是什么

YearnFinance是一個DeFi收益聚合器，于7月17日推出治理TokenYFI后因其新穎的分發機制和治理方案迅速引爆了流動性挖礦市場。而YFII是對YFI項目的分叉，遵循YIP-8，實施了類似比特幣的減半機制。YFII相對YFI做了哪些改動

孫宇晨抵押1.9億美元stETH鑄造7780萬DAI存入Maker:金色財經報道，據余燼監測，7小時前，孫宇晨抵押102,462枚stETH(1.9億美元)鑄造7,780萬DAI，然后將DAI存入Maker賺取目前8%的APY。目前DAI的DSR存款已經10億美元。[2023/8/10 16:16:34]

目前，YFII合約代碼均直接Fork自YearnFinance，做了較小的改動以支持YFIIToken的定期減半分發。下表為YFII涉及的合約與YFI合約對應關系及地址。

YFI/YFIIToken為項目治理Token合約，二者實現一致，具體為一個帶mint和簡單governance功能的標準ERC-20Token。BPTToken為BalancerPoolToken合約，是做市商的流動性證明Token，實際由自動做市協議Balancer的BFactory入口合約創建，因此二者實現完全一致。該合約代碼此前由TrailofBits和ConsensysDiligence進行過審計。Pool1和Pool2是用于分發治理Token的流動性挖礦合約，Pool1和Pool2的代碼實現一致，均被稱為YearnRewards合約，而YFII相對于YFI的改動即在這該合約中。YFIIPool1和Pool2合約相對于原始代碼新增了checkStart()和checkhalve()兩個修飾符函數，分別用于控制挖礦開始時間，和治理Token周期性地產量減半。YFII&YFI核心合約簡析

OP跌破1.4美元，日內跌幅達7.28%:金色財經報道，行情顯示，OP跌破1.4美元，現報1.374美元，日內跌幅達到7.28%，行情波動較大，請做好風險控制。[2023/5/31 11:50:51]

YFII和YFI流動性挖礦的核心合約代碼YearnRewards實際源自于Synthetix項目的Unipool，原本用于獎勵在Uniswap上為ETH/sETH交易對提供流動性的做市商SNXToken，該代碼之前經過SigmaPrime審計。基于YearnRewards的流動性挖礦整個流程可以分為以下幾步：具有RewardDistribution權限的地址，預先通過調用YearnRewards合約的notifyRewardAmount()函數，設置獎勵數額，而對應金額的YFIToken應由YFIminter轉入YearnRewards合約中。礦工向YearnRewards合約指定的目標DeFi合約提供流動性，拿到對應的流動性證明Token，該Token可以用于換回資產以及賺取利息或手續費收益。礦工將得到的PoolToken通過調用stake()函數存入YearnRewards合約中，合約自動根據Stake時長和礦工存入資金規模占資金池總規模的大小來計算礦工應得的獎勵。礦工可隨時提走自己的應有獎勵以及之前存入的PoolToken。通常一個YearnRewards合約專門用于單個特定DeFi項目的流動性挖礦，如Pool1對接Curve項目的y池，Pool2對接Balancer上的YFI-DAIPool。一些發現

全球谷物早餐和零食巨頭家樂氏為旗下12個子品牌申請NFT商標:5月31日消息，全球知名谷物早餐和零食制造巨頭 Kellogg（家樂氏）已為旗下 12 個子品牌向美國專利商標局（USPTO）提交了 NFT 商標申請，包括 Froot Loops、Special K、Kellogg’s、Pop-Tarts、Cheez-It、Rice Krispies、Krave、Eggo、Mini Wheats、Bear Naked、Frosted Flakes、以及 Pringles，家樂氏在商標申請中提到在「在線虛擬世界」中各種麥片、早餐棒和小吃將被制成 NFT。[2023/5/31 11:49:34]

前面提到YFII相對于YFI的改動，代碼改動整體較小。新增兩個修飾器函數用于約束stake()withdraw()getReward()三個主要功能函數。

LooksRare：將推出Moonshot項目，并將定期回購LOOKS:5月27日消息，NFT 市場 LooksRare 發文稱，將在 4 至 6 周內推出 Moonshot 項目，它將為 LooksRare 協議產生費用，并將用其中一大部分費用從市場上定期回購 LOOKS 代幣。目前，LooksRare 已從前 5 次 Raffles 中回購超過 55 萬枚 LOOKS（超過 4.5 萬美元），回購的代幣將存入 LooksRare 財庫。[2023/5/27 9:45:16]

notifyRewardAmount()函數中新增了一行代碼，用于在notify的同時直接控制YFIToken合約mint指定數量的Token到當前YearnRewards合約，將其作為獎勵用于分發。因此，Pool1和Pool2合約必須是YFIIToken合約的minter。這讓YFII與YFI在Token分發細節邏輯上稍有不同。YFI每期獎勵的分發都需要由特定地址負責設置金額并轉入Token。而YFII除了第一期開始前執行了notifyRewardAmount()操作，之后會隨著用戶的調用，產量自動定期減半。

Circle CEO：將通過減少銀行存款來保護自己:金色財經報道，在美國聯邦政府出手保護現已倒閉的硅谷銀行儲戶幾天后，Circle首席執行官Jeremy Allaire在接受CNBC采訪時表示，USDC雖恢復錨定但銀行系統風險并未完全消失，他解釋說，美國金融體系受到更廣泛影響的風險似乎是系統性的，我不認為這些風險此時已經完全消散。Circle將通過減少銀行存款來保護自己，從Circle的角度來看，主要的預防措施是讓我們確保盡可能少地暴露在部分準備金銀行系統中的隱含風險。（dailyhodl）[2023/3/16 13:08:23]

另外，在與社區開發者Madao和gaojin討論代碼細節的過程中，Madao提到Token產量自動減半的執行需要依賴checkhalve()函數的執行，實際則依賴用戶與合約交互，執行時間無法精準控制到上一個周期的結尾，減半發生時間會與預期時間存在一定的時間差，并且合約減半實際發生時間很大概率晚于預期時間。特別地，合約計算獎勵時會將兩個周期間多出來的時間差計算在內，導致給每個用戶計算的獎勵值會略高于預期值，產生了一定誤差。進而我們發現，只要誤差存在，理論上最后一個從Pool中提取reward的人可能無法正常提現。這是因為合約在減半的同時MintYFIIToken至Pool合約。由于前面誤差的存在，導致合約中用戶賬面收益高于實際Mint出來的Token數量。誤差的大小計算方法為每個周期結束時間與下次減半發生實際發生時間之間的時間差Delta乘以減半后的rewardRate。根據上圖測算，平均延時60秒減半，累計誤差在1個YFII以內。只要能控制時間誤差足夠小，再加上持續有下一周期的Token作為補充，因此該誤差問題影響較小。YFII管理員權限處理

YFI類Token都存在鑄幣接口，具有mint權限的地址可以增發Token。YFI類Token還存在Governance管理員，具有權限添加和刪除Minter。通常理想情況下這些地址特殊權限地址應該為多簽合約或其他專門合約。另外YearnRewards合約有rewardDistribution權限地址，用于調用notifyRewardAmount()函數設置獎勵金額。YearnRewards合約還存在owner權限地址，用于設置rewardDistribution地址。目前，YFII項目的做法是將YFIIToken的Governance管理員、Pool1和Pool2的rewardDistribution均設為了0地址。管理員權限銷毀記錄可參見https://burn.yfii.finance/。經查驗，管理員權限銷毀屬實。目前只有Pool1和Pool2兩個合約地址具有YFIIToken的mint權限，屬于為了實現周期性減半的必要權限，且未來無法被濫用。特別值得一提地是，原版YFIToken代碼實現中，并未給addMinter()該特權函數添加Event，導致普通用戶無法方便地查看究竟合約有多少minter。當心，這讓各種類YFI項目非常容易藏入后門。經查驗，YFIIToken合約總共只有兩條addMinter()記錄，分別為Pool1和Pool2合約添加mint權限，未引入多余的minter。總結

YFI整體是一次非常有意義的DeFi創新實驗，通過YearnFinance我們看到去中心化的治理代幣分發，充分激發了DeFi社區的挖礦和治理熱情。YFII在YFI的基礎上實現了YIP-8提案，探索了一種可能更公平的治理代幣分發方案，并且短時間在社區內產生了較大影響，發展勢頭驚人。安全建議

隨著流動性挖礦和DeFi產品的火熱，市面上涌現出來各種新型DeFi智能合約，組合性風險劇增。安比實驗室提醒用戶與任何DeFi項目交互時一定要注意安全第一，認清域名、合約地址，仔細審查所有與資金相關的操作，盡量不要與來源不明的智能合約交互。另外，我們應更多關注DeFi產品本身和智能合約安全，分析價值基礎和風險來源，不盲信APR，只投入能夠承受損失的金額。特別提醒，記得用本文中提供的線索自行檢查參與的類YFI項目管理員權限。

Tags：YFITOKENTOKETOKYFI2C幣Wheat TokenCapdax TokenBraveToken

FIL幣