紅薯剛種下,就得挖出來了?
今日DeFi領域再次發生一起魔幻事件,呼聲極高的紅薯項目一經上線,流動性礦工們就開始瘋狂涌入。短短8個小時內,YamFinance中鎖倉總價值就超過2億美元。COMP挖礦帶動了DeFi產業出圈,而YAM直接帶動了DeFi頭部項目集體上漲,堪稱“一飛沖天”。
然而短短36小時內,眼見它高樓起,高樓塌。數億美元因為一個小小的漏洞,消失于無形。本以為反應遲鈍的自己損失了一個億,沒想到保住了自己的五塊錢。
好好的小紅薯,究竟承受了什么?
首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊,近日,DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞,攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息,嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件,DVP安全團隊在收到該漏洞后,第一時間通知該平臺進行修復,但未收到回應。DVP提醒相關用戶關注個人信息安全,以免造成損失。[2019/8/13]
事件背景
8月12日,YAMFinance官方宣布他們發現了一個智能合約漏洞,并稱該漏洞將生成超出最初設定數量的YAM代幣。在這種情況下,大量的保留代幣將造成治理操作所需的代幣數量過大。這意味著社區將來將沒有足夠的代幣來執行任何治理操作。
公告 | 火幣全球站6月29日16:00全球首發 Project PAI:火幣全球站定于新加坡時間6月29日16:00 Project PAI (PAI) 充值業務。7月2日16:00在創新區開放PAI/BTC, PAI/ETH交易。7月6日16:00開放 PAI提現業務。[2018/6/29]
智能合約漏洞出現在哪里?
該漏洞發生在YAM項目智能合約YAM.sol的rebase功能上,如下圖所示:
圖片來源:?
https://github.com/yam-finance/yam-protocol/blob/767e3a4a6918b6fb6100ad6bb356164408f5d82f/contracts/token/YAM.sol#L340
IMEOS首發 BM表示EOS合約具有整數溢出保護:據金色財經合作媒體IMEOS報道:近日ETH出現多個ERC20智能合約的處理溢出錯誤,BM在推特上發表評論:新的ETH契約Bug可能會破壞整個Token的供應,讓持有者留下無價值Token.這就算為什么代碼不能成為法律,隨即表示EOS erc合約不容易受到這種攻擊。而EOS官方群也有人表示擔憂EOS是否具有整數溢出保護?BM回應:有很多C ++模板類可以封裝類型并檢查溢出。[2018/4/25]
上圖中的rebase功能應該執行rebase,以保持穩定的價格。但是,有一行代碼在計算totalSupply時,給出了錯誤的結果,這會導致系統保留的代幣數量過多。
這行代碼的正確代碼/計算方程形式應類似于以下代碼/方程:
totalSupply?=initSupply.mul(yamsScalingFactor).div(BASE);
那么是否可以在截止日期之前通過治理操作來修復此漏洞?
第二次調整是在美國東部時間8月13日凌晨4點。
YAMFinance公開宣布,在美東時間凌晨3點之前,他們需要約16萬YAM委托要求才能提交治理提案。如果在投票窗口中得到的委托超過40萬YAM,則該提案將允許用戶將YAM自行轉移或存入儲備池。?
有一個好消息是,YAM獲得了其社區的大力支持,并且該提案已成功提交。但是,新提交的提案無法在智能合約中運行,所以YAM目前依舊是一個不可管理的狀態。
YAM的現狀
YAMFinance目前已經失去了治理能力,75%的流動資金已經從YAM/yCRV未撥出資金池中移出。但是,其余的流動資金將從儲備庫中刪除。
據官方消息,Gate.io將為YAMGitcoin捐贈,捐贈資金將被用于對YAM合約進行審計。審計完成后,YAM合約將遷移到YAM2.0。
如何避免?
CertiK安全團隊強烈建議:
所有區塊鏈項目在正式發布之前不僅需要使用嚴格的軟件測試工具來驗證項目的代碼安全性,更是應該邀請多個第三方區塊鏈安全團隊,做好對區塊鏈項目中代碼的驗證審計工作,并在每次更新代碼后進行重新審計。從而設計一個更好的項目管理系統,以備進行項目緊急更新的需求。
我們絕不僅僅是尋找漏洞,而是要消除哪怕只有0.00000001%被攻擊的可能性。
一、去頭部交易所OTC去買ETH。二、把Eth提現到DeFi神器Metamask錢包中。三、在Uniswap兌換Weth.
1900/1/1 0:00:00免責聲明:以下價格預測應在一周內實現。XRP在過去一天的價格走勢不太樂觀。隨著價格保持在0.29美元附近的盤整,資產暴跌8.56%,圖表中資產跌至0.265美元.
1900/1/1 0:00:008月10日,DEX類項目Curve宣布其治理代幣的預挖礦已結束。此次活動吸引了9000余個地址參與,其中包括20個巨鯨地址.
1900/1/1 0:00:00也許誰也都沒有想到,2020年DeFi可以這么瘋狂。流動性挖礦的大風潮下,本就非常年輕的幣圈也劃分出了兩個不同的圈子:“古典幣圈”和“新幣圈”.
1900/1/1 0:00:00弘文談幣:8.14傍晚行情分析震蕩區間如何找準進場點位投資生涯,每個人都會有陷入迷茫的時候,既然你有幸了解了投資的魅力,就不要輕易放棄,哪怕只是用最小的成本去嘗試.
1900/1/1 0:00:00俞澤丨8.14比特幣11820遇阻回落將見底多頭大軍準備好上車今天早盤的比特幣基本如俞澤上午的文章所說的文章《俞澤丨8.14比特幣11820遇阻必有下跌,日間看回落》.
1900/1/1 0:00:00