首發 | 一朝跌落云端 Yam Financial智能合約漏洞事件分析 ?_YAM:區塊鏈存證怎么操作

紅薯剛種下，就得挖出來了？

今日DeFi領域再次發生一起魔幻事件，呼聲極高的紅薯項目一經上線，流動性礦工們就開始瘋狂涌入。短短8個小時內，Yam Finance中鎖倉總價值就超過2億美元。COMP挖礦帶動了DeFi產業出圈，而YAM直接帶動了DeFi頭部項目集體上漲，堪稱“一飛沖天”。

然而短短36小時內，眼見它高樓起，高樓塌。數億美元因為一個小小的漏洞，消失于無形。本以為反應遲鈍的自己損失了一個億，沒想到保住了自己的五塊錢。

首發 | 百度財報體現區塊鏈 BaaS平臺成為新戰略重點:金色財經報道，2020年2月28日，百度（股票代碼BAIDU）公布財報，其中將區塊鏈BaaS平臺相關的進展進行了單獨敘述，依托于百度智能云的區塊鏈平臺有望成為技術創新方向的新增長引擎。在AI服務上，百度與上海浦東發展銀行達成合作，共建區塊鏈聯盟，在百度區塊鏈服務（BaaS）平臺上實現跨行信息驗證。[2020/2/28]

好好的小紅薯，究竟承受了什么？

首發 | 《一起來捉妖》中玩家達到22級將會接觸到專屬貓的玩法 ?:今日騰訊上線首款區塊鏈游戲《一起來捉妖》，經金色財經查證，游戲中玩家達到22級將會接觸到專屬貓的玩法，而非此前官方對外宣稱的15級。除了誘貓鈴鐺召喚出的0代貓以及部分通過運營活動獎勵的專屬貓以外，游戲中所有的貓默認都是未上鏈狀態。未上鏈的貓不能出售，也無法進入市場與其他玩家配對；但是你可以使用這些貓與你的QQ/微信好友進行配對，產出新的小貓。使用道具“天書筆”可以將你的貓記錄到區塊鏈。當貓被記錄到區塊鏈以后，這些貓就可以進入市場，通過配對賺取點券，或者出售賺取點券。專屬貓是否上鏈，并不影響它的增益效果。但只有上鏈后，它才能面對全服務器所有的玩家進行繁殖、交易。

?

《一起來捉妖》中的專屬貓玩法，基于騰訊區塊鏈技術，游戲中的虛擬數字資產得到有效保護。此外，基于騰訊區塊鏈技術，貓也可以自由繁殖，并且運用區塊鏈技術存儲、永不消失。[2019/4/11]

事件背景

IMEOS首發 EOS Go公布新增兩條復選條件 :據金色財經合作伙伴IMEOS報道：今日，EOS Go在 steemit上公布新增的兩條復選條件為：

1. 保證安全的計劃：候選節點是否在steemit上發布文章介紹該節點的安全方法和計劃，“安全方法”標準是向EOS選民展示安全最佳實踐知識和組織實施計劃的機會；

2. 立場：描述該節點分享通脹獎勵和/或向EOS代幣持有人派發股息的立場（候選節點在steemit發布）。主要闡述以下兩個問題：

該組織是否會出于任何原因向EOS令牌選民提供支付，包括BP選舉和社區建議？

該組織是否有書面的無票付款政策？如果是這樣，請提供一個鏈接。[2018/4/27]

8月12日，YAM Finance官方宣布他們發現了一個智能合約漏洞，并稱該漏洞將生成超出最初設定數量的YAM代幣。在這種情況下，大量的保留代幣將造成治理操作所需的代幣數量過大。這意味著社區將來將沒有足夠的代幣來執行任何治理操作。

智能合約漏洞出現在哪里？

該漏洞發生在YAM項目智能合約YAM.sol的rebase功能上，如下圖所示：

圖片來源: 

https://github.com/yam-finance/yam-protocol/blob/767e3a4a6918b6fb6100ad6bb356164408f5d82f/contracts/token/YAM.sol#L340

上圖中的rebase功能應該執行rebase，以保持穩定的價格。但是，有一行代碼（已標注藍色）在計算totalSupply時，給出了錯誤的結果，這會導致系統保留的代幣數量過多。

這行代碼的正確代碼/計算方程形式應類似于以下代碼/方程：

totalSupply =initSupply.mul(yamsScalingFactor).div(BASE);

那么是否可以在截止日期之前通過治理操作來修復此漏洞？

第二次調整是在美國東部時間8月13日凌晨4點。

YAM Finance公開宣布，在美東時間凌晨3點之前，他們需要約16萬YAM委托要求才能提交治理提案。如果在投票窗口中得到的委托超過40萬YAM，則該提案將允許用戶將YAM自行轉移或存入儲備池。 

有一個好消息是，YAM獲得了其社區的大力支持，并且該提案已成功提交。但是，新提交的提案無法在智能合約中運行，所以YAM目前依舊是一個不可管理的狀態。

YAM的現狀

YAM Finance目前已經失去了治理能力，75％的流動資金已經從YAM / yCRV未撥出資金池中移出。但是，其余的流動資金將從儲備庫中刪除。

據官方消息，Gate.io將為YAM Gitcoin捐贈，捐贈資金將被用于對YAM合約進行審計。審計完成后，YAM合約將遷移到YAM2.0。

如何避免？

CertiK安全團隊強烈建議：

所有區塊鏈項目在正式發布之前不僅需要使用嚴格的軟件測試工具來驗證項目的代碼安全性，更是應該邀請多個第三方區塊鏈安全團隊，做好對區塊鏈項目中代碼的驗證審計工作，并在每次更新代碼后進行重新審計。從而設計一個更好的項目管理系統，以備進行項目緊急更新的需求。

Tags：YAM區塊鏈EOSNANYamanote-Sen區塊鏈存證怎么操作EOSWINKnit Finance

SHIB最新價格