BTC/HKD+0.31%
ETH/HKD+0.69%
LTC/HKD+1.19%
DOT/HKD+0.39%
ADA/HKD+0.88%
SOL/HKD+1.33%
XRP/HKD+1.12%
DOGE/US+0.96%本文來源:慢霧科技
作者:?yudan@?慢霧安全團隊
前言
整個事件的分析如上圖,由于?rebase?的時候取的是上一次的totalSupply的值,所以計算錯誤的totalSupply的值并不會立即通過mint作用到initSupply上,所以在下一次rebase?前,社區仍有機會挽回這個錯誤,減少損失。但是一旦下一次?rebase?執行,整個失誤將會變得無法挽回。
通過查詢Etherscan上YAM代幣合約的相關信息,可以看到totalSupply已經到了一個非常大的值,而initSupply還未受到影響。
前車之鑒
這次事件中官方已經給出了具體的修復方案,這里不再贅述。這次的事件充分暴露了未經審計DeFi合約中隱藏的巨大風險,雖然YAM開發者已經在Github中表明YAM合約的很多代碼是參考了經過充分審計的DeFi項目如Compound、Ampleforth、Synthetix及YEarn/YFI,但是仍無可避免地發生了意料之外的風險。
DeFi項目YamFinance核心開發者belmore在推特上表示:“對不起,大家。我失敗了。謝謝你們今天的大力支持。我太難過了。”,但是覆水已經難收,在此,慢霧安全團隊給出如下建議:
1、由于DeFi合約的高度復雜性,任何DeFi項目都需在經過專業的安全團隊充分審計后再進行上線,降低合約發生意外的風險?。審計可聯系慢霧安全團隊
2、項目中去中心化治理應循序漸進,在項目開始階段,需要設置適當的權限以防發生黑天鵝事件。
根據QKL123行情顯示,北京時間8月2日凌晨,ETH快速上漲,一度逼近400美元,同時刷新了自2018年8月份以來的歷史新高,與此同時還帶動了其他主流幣種的上漲,比特幣突破了11800美元.
1900/1/1 0:00:00本文來源:加密谷 作者:IvanonTech,翻譯:Liam Curve是一個去中心化的交易所,旨在實現高效的穩定幣交易。它和Uniswap一樣使用了流動性池,它是非托管的,并獎勵流動性提供者.
1900/1/1 0:00:00自今年6月份以來,DeFi市場一片繁榮。DeFi一詞更是在各個社群中討論度激增。有多夸張呢?短短幾個月時間,DeFi?明星項目等產生了高達幾十倍甚至百倍的收益,包含了Aave、YFI、Link等.
1900/1/1 0:00:00本文的翻譯和介紹,目的是為讀者更加開闊思路的了解分布式賬本本身在金融領域的應用,以及它與區塊鏈的關系和區別,無論是從技術層面還是應用層面,讓讀者對分布式賬本技術以及它的子集區塊鏈技術.
1900/1/1 0:00:00以太坊2.0的上線將成為加密社區的重大里程碑事件,一定程度上會決定區塊鏈行業的發展走向,其中也將誕生許多參與機會,對整個加密生態的影響非常巨大.
1900/1/1 0:00:00作者:Mark 來源:DeepChain深鏈二十條朋友圈動態有十條廣告,其中七條和Filecoin相關.
1900/1/1 0:00:00
加密貨幣交易所
;}}//SlowMist//問題代碼totalSupply=initSupply</p>
<p> }</p>
<p> <b>通過分析最終的?</b></p>
<p> rebase?函數的邏輯,不難發現代碼中根據yamsScalingFactor來對totalSupply進行調整,由于yamsScalingFactor是一個高精度的值,在調整完成后應當除以BASE來去除計算過程中的精度,獲得正確的值。但是項目方在對totalSupply進行調整時,竟忘記了對計算結果進行調整,導致了totalSupply意外變大,計算出錯誤的結果。</p>
<p> 分析到這里還沒結束,要將漏洞和社區治理關聯起來,需要對代碼進行進一步的分析。通過觀察?rebase?函數的修飾器,不難發現此處限定了只能是rebaser進行調用。而rebaser是YAM中用與實現供應量相關邏輯的合約,也就是說,是rebaser合約最終調用了YAM</p>
<p> Binance Labs投資其孵化計劃第五季中的5個項目,包括DeFi、基礎設施等領域:6月20日消息,Binance Labs已投資其孵化計劃第五季中的5個項目,所選項目涵蓋Web3的各個領域,包括DeFi、基礎設施、工具和中間件。具體項目細節如下: </p>
<p> zkPass,一種基于多方計算(MPC)和零知識證明(ZKP)技術的Web3可組合、隱私保護的去中心化身份驗證解決方案。zkPass旨在使用最新的密碼技術為Web3應用程序提供安全且保護隱私的身份驗證解決方案。 </p>
<p> Mind Network,一個全加密網絡,建立在獲得專利的自適應全同態加密(FHE)框架之上,以保護Web3上的所有用戶數據、智能合約和人工智能。它被用作去中心化的隱私保護數據湖,提供加密的高性能按需付費數據存儲和計算。 </p>
<p> Kryptoskatt,一個為全球用戶簡化Web3財務的項目,提供一套全面的解決方案,包括會計、投資組合管理和稅務報告。Kryptoskatt支持2000多種DeFi協議、100多個交易平臺和錢包以及50多個區塊鏈,是滿足所有Web3金融需求的一站式商店。 </p>
<p> Bracket Labs是一個在鏈上構建杠桿結構化產品的項目,具有簡單的界面和創新的自適應定價,可大大提高可用性。Bracket Labs推出了BracketX.fi,該平臺可幫助交易者快速利用橫盤和趨勢市場條件下的波動。 </p>
<p> DappOS,一個專注于構建操作協議的項目,通過創建提高Web3應用程序可用性和可訪問性的解決方案來降低進入Web3的門檻。[2023/6/20 21:48:54]</p>
<p> //SlowMist//取當前YAM代幣的供應量uint256currSupply=yam</p>
<p> FEI已新增為DeFi借貸協議Aave抵押品:2 月 1 日,據官方信息,算法穩定幣 Fei Protocol 項目 Token FEI 可作為 DeFi 借貸協議 Aave 的抵押品。此前報道,2021 年 9 月 20 日,Fei Protocol 被通過添加到 Aave,用戶可用 Aave 上支持的 20 種代幣作為抵押品借出 FEI。由于 FEI 是早期項目,因此 FEI 不可作為抵押品,FEI 的價格將通過預言機 Chainlink 提供。[2022/2/1 9:25:20]</p>
<p> //rebase//SlowMist//調用YAM的rebase邏輯uint256supplyAfterRebase=yam</p>
<p> 通過分析代碼,可以發現函數在進行了一系列的檢查后,首先獲取了當前YAM的供應量,計算此次的鑄幣數量,然后再調用YAM</p>
<p> <b>}}}</b></p>
<p> 通過分析發現,afterRebase函數主要的邏輯在buyReserveAndTransfer函數中,此函數用于將增發出來的代幣的一部分用于到Uniswap中購買yCRV代幣。跟蹤buyReserveAndTransfer函數,代碼如下:</p>
<p> functionbuyReserveAndTransfer(</p>
<p> uint256mintAmount,</p>
<p> DeFi平臺UBISWAP今日即將上線火幣生態鏈并支持HUSD穩定幣:據DeFi平臺UBISWAP消息,UBISWAP計劃于2020年12月31日20:00(SGT)正式上線。該平臺上線后,用戶可使用HUSD兌換UBS, 也可以通過質押UBS-HUSD享受UBISWP的鏈上獎勵。 </p>
<p> 據悉,UBISWAP項目后期還會增加更多UBS礦池,用戶可以直接在礦池中通過質押LP,或者HUSD單幣,享受UBS挖礦獎勵,并可隨時將挖礦獎勵兌換成其他數字資產。 </p>
<p> UBISWAP是運行在火幣生態鏈(HECO)上的去中心化交易平臺,通過獨特的技術創新,可使用交易手續費的收入及時返還LP獎勵,補償無常損失帶來的隱憂,以期改善現有的DEX用戶生態。HUSD是由Stable Universal 發行的合規穩定幣,與美元1:1錨定。HUSD已經在數字資產交易、支付、DeFi等應用中落地。[2020/12/31 16:10:33]</p>
<p> uint256offPegPerc</p>
<p> )</p>
<p> <b>internal</b></p>
<p> {</p>
<p> UniswapPairpair=UniswapPair(uniswap_pair);</p>
<p> YAMTokenInterfaceyam=YAMTokenInterface(yamAddress);</p>
<p> AOFEX今日DeFi流動性挖礦收益已發放,OT現報價15.64AQ:據官方消息,AOFEX自啟動抵押平臺幣OT參與DeFi流動性挖礦活動以來,已成功啟動四期并穩定運行。第一期(CRV)今日年化收益率為23.25%,平均年化收益率為77.64%。第二期(UNISWAP)今日年化收益率為22.05%,平均年化收益率為70.56%。第三期(SUSHI)今日年化收益率為21.13%,平均年化收益率為91.14%。 </p>
<p> AOFEX將持續為用戶篩選優質流動性挖礦項目并實時監控,用戶抵押OT即可參與。AOFEX數字貨幣金融衍生品交易所旨在為用戶提供優質服務和資產安全保障。[2020/9/30]</p>
<p> //getreserves(uint256token0Reserves,uint256token1Reserves,)=pair</p>
<p> else{if(tokens_to_max_slippage>excess){//uniswapcanhandleentirereservesuint256buyTokens=getAmountOut(tokens_to_max_slippage,token0Reserves,token1Reserves);</p>
<p> //swapuptoslippagelimit,takingentireyamreserves,andmintingpartoftotal//SlowMist//將多余代幣鑄給reserves合約uniVars</p>
<p> 動態 | 數據顯示:鎖定在DeFi中的ETH突破300萬枚:DeFi Pulse數據顯示,1月7日,鎖定在DeFi應用中的ETH突破300萬枚,現為302.3萬枚。[2020/1/7]</p>
<p> else{//uniswapcanthandleallofexcessuint256buyTokens=getAmountOut(tokens_to_max_slippage,token0Reserves,token1Reserves);uniVars</p>
<p> }}else{if(tokens_to_max_slippage>mintAmount</p>
<p> else{if(tokens_to_max_slippage>excess){//uniswapcanhandleentirereservesuint256buyTokens=getAmountOut(tokens_to_max_slippage,token1Reserves,token0Reserves);</p>
<p> //swapuptoslippagelimit,takingentireyamreserves,andmintingpartoftotal//SlowMist//增發的多余的代幣給reserves合約uniVars</p>
<p> else{//uniswapcanthandleallofexcessuint256buyTokens=getAmountOut(tokens_to_max_slippage,token1Reserves,token0Reserves);uniVars</p>
<p> <b>}}}</b></p>
<p> 通過對代碼分析,buyReserveAndTransfer首先會計算在Uniswap中用于兌換yCRV的YAM的數量,如果該數量少于YAM的鑄幣數量,則會將多余的增發的YAM幣給reserves合約,這一步是通過Uniswap合約調用?</p>
<p> rebase?合約的uniswapV2Call函數實現的,具體的代碼如下:</p>
<p> functionuniswapV2Call(</p>
<p> addresssender,</p>
<p> uint256amount0,</p>
<p> uint256amount1,</p>
<p> bytesmemorydata</p>
<p> )</p>
<p> <b>public</b></p>
<p> {</p>
<p> //enforcethatitiscomingfromuniswap</p>
<p> <b>require(msg</b></p>
<p> }else{//minttouniswapyam</p>
<p> //mintunsoldtomintAmount//SlowMist//將多余的YAM代幣分發給reserves合約if(uniVars</p>
<p> //transferreservetokentoreservesif(isToken0){SafeERC20</p>
<p> else{SafeERC20</p>
<p> }</p>
<p> 分析到這里,一個完整的?</p>
<p> rebase?流程就完成了,你可能看得很懵,我們用簡單的流程圖簡化下:</p>
<p> <img alt=)