BTC/HKD+1.7%
ETH/HKD+1.78%
LTC/HKD+2.98%
DOT/HKD+8.21%
ADA/HKD+13.88%
SOL/HKD+3.9%
XRP/HKD+27.47%
DOGE/US+1.83%本文來源:慢霧科技
作者:?yudan@?慢霧安全團隊
前言
整個事件的分析如上圖,由于?rebase?的時候取的是上一次的totalSupply的值,所以計算錯誤的totalSupply的值并不會立即通過mint作用到initSupply上,所以在下一次rebase?前,社區仍有機會挽回這個錯誤,減少損失。但是一旦下一次?rebase?執行,整個失誤將會變得無法挽回。
通過查詢Etherscan上YAM代幣合約的相關信息,可以看到totalSupply已經到了一個非常大的值,而initSupply還未受到影響。
前車之鑒
這次事件中官方已經給出了具體的修復方案,這里不再贅述。這次的事件充分暴露了未經審計DeFi合約中隱藏的巨大風險,雖然YAM開發者已經在Github中表明YAM合約的很多代碼是參考了經過充分審計的DeFi項目如Compound、Ampleforth、Synthetix及YEarn/YFI,但是仍無可避免地發生了意料之外的風險。
DeFi項目YamFinance核心開發者belmore在推特上表示:“對不起,大家。我失敗了。謝謝你們今天的大力支持。我太難過了。”,但是覆水已經難收,在此,慢霧安全團隊給出如下建議:
1、由于DeFi合約的高度復雜性,任何DeFi項目都需在經過專業的安全團隊充分審計后再進行上線,降低合約發生意外的風險?。審計可聯系慢霧安全團隊
2、項目中去中心化治理應循序漸進,在項目開始階段,需要設置適當的權限以防發生黑天鵝事件。
Tags:INTRESSERYAMalchemint-standardsFD ReserveEra Name ServiceYAMV2
根據銀保監會等五部門發布的《關于防范以“虛擬貨幣”“區塊鏈”名義進行非法集資的風險提示》,請大家樹立正確的投資理念,本文內容報道不對任何經營與投資活動推廣進行背書,請投資者提高風險防范意識.
1900/1/1 0:00:00本文來源:機械鐘,原題《大風刮不來錢,farmer的錢從何而來》 作者:李畫 Farmer們似乎是在撿錢,但大風刮不來錢.
1900/1/1 0:00:00在區塊鏈的世界里,超級賬本和都產生了創新的浪潮。這兩個流行的開源區塊鏈平臺在行業中不僅發現了大量區塊鏈應用,而且它們還鼓勵世界各地的區塊鏈開發者參與區塊鏈架構和區塊鏈工具的協作開發.
1900/1/1 0:00:00作者:利牧羊 以太坊是當前除了比特幣以外,最知名的公鏈,其生態極其豐富,被稱為區塊鏈2.0的代表.
1900/1/1 0:00:00只有1個logo的神秘項目最近有一個神秘的項目Unitrade引起大家的關注。它的官網只有一個Logo: 但Unitrade的代幣TRADE在Uniswap過去二十四小時的交易量就超過400萬美.
1900/1/1 0:00:00你不買,我不買,BTC文創何時有人睬?你一單,我一單,BTC文化馬上就出圈。 熱愛BTC文化的你, 又擁有了多少BTC的文創周邊呢? 快來鏈作, 多款有趣的BTC周邊好物隨心挑!是時候為你愛的B.
1900/1/1 0:00:00
買以太坊
;}}//SlowMist//問題代碼totalSupply=initSupply</p>
<p> }</p>
<p> <b>通過分析最終的?</b></p>
<p> rebase?函數的邏輯,不難發現代碼中根據yamsScalingFactor來對totalSupply進行調整,由于yamsScalingFactor是一個高精度的值,在調整完成后應當除以BASE來去除計算過程中的精度,獲得正確的值。但是項目方在對totalSupply進行調整時,竟忘記了對計算結果進行調整,導致了totalSupply意外變大,計算出錯誤的結果。</p>
<p> 分析到這里還沒結束,要將漏洞和社區治理關聯起來,需要對代碼進行進一步的分析。通過觀察?rebase?函數的修飾器,不難發現此處限定了只能是rebaser進行調用。而rebaser是YAM中用與實現供應量相關邏輯的合約,也就是說,是rebaser合約最終調用了YAM</p>
<p> 新研究表明:DeFi比傳統金融更具可擴展性:金色財經報道,一份新報告稱,盡管 2022 年大部分時間市場狀況普遍,但去中心化金融 (defi) 仍顯示出比傳統金融業更大的擴展潛力。根據 Hashkey Capital 的年終報告,去中心化金融 (defi) 具有“比傳統金融行業可擴展許多倍的潛力”。報告建議,除了擴展潛力之外,defi 協議還具有彈性,并且很可能在 Terra luna/UST 崩潰等黑天鵝事件中毫發無損地出現。[2022/12/22 22:01:33]</p>
<p> //SlowMist//取當前YAM代幣的供應量uint256currSupply=yam</p>
<p> //rebase//SlowMist//調用YAM的rebase邏輯uint256supplyAfterRebase=yam</p>
<p> 通過分析代碼,可以發現函數在進行了一系列的檢查后,首先獲取了當前YAM的供應量,計算此次的鑄幣數量,然后再調用YAM</p>
<p> <b>}}}</b></p>
<p> 通過分析發現,afterRebase函數主要的邏輯在buyReserveAndTransfer函數中,此函數用于將增發出來的代幣的一部分用于到Uniswap中購買yCRV代幣。跟蹤buyReserveAndTransfer函數,代碼如下:</p>
<p> functionbuyReserveAndTransfer(</p>
<p> Terra鏈上DeFi鎖倉量為161.5億美元:金色財經報道,據DefiLlama數據顯示,當前Terra鏈上DeFi鎖倉量為161.5億美元,在公鏈中仍排名第2位。目前,鎖倉量排名前5的公鏈分別為以太坊(1462.9億美元)、Terra(161.5億美元)、BSC(155.2億美元)、Avalanche(107.1億美元)、Solana(97.5億美元)。[2022/1/9 8:35:39]</p>
<p> uint256mintAmount,</p>
<p> uint256offPegPerc</p>
<p> )</p>
<p> <b>internal</b></p>
<p> {</p>
<p> UniswapPairpair=UniswapPair(uniswap_pair);</p>
<p> YAMTokenInterfaceyam=YAMTokenInterface(yamAddress);</p>
<p> //getreserves(uint256token0Reserves,uint256token1Reserves,)=pair</p>
<p> else{if(tokens_to_max_slippage>excess){//uniswapcanhandleentirereservesuint256buyTokens=getAmountOut(tokens_to_max_slippage,token0Reserves,token1Reserves);</p>
<p> DeFi 概念板塊今日平均漲幅為3.52%:金色財經行情顯示,DeFi 概念板塊今日平均漲幅為3.52%。47個幣種中34個上漲,13個下跌,其中領漲幣種為:CRV(+33.59%)、IDEX(+23.52%)、SUSHI(+19.26%)。領跌幣種為:WICC(-26.27%)、SWFTC(-24.92%)、YFV(-9.64%)。[2021/1/31 18:31:02]</p>
<p> //swapuptoslippagelimit,takingentireyamreserves,andmintingpartoftotal//SlowMist//將多余代幣鑄給reserves合約uniVars</p>
<p> else{//uniswapcanthandleallofexcessuint256buyTokens=getAmountOut(tokens_to_max_slippage,token0Reserves,token1Reserves);uniVars</p>
<p> }}else{if(tokens_to_max_slippage>mintAmount</p>
<p> else{if(tokens_to_max_slippage>excess){//uniswapcanhandleentirereservesuint256buyTokens=getAmountOut(tokens_to_max_slippage,token1Reserves,token0Reserves);</p>
<p> BKEX Capital宣布戰略投資Zilliqa生態Defi項目“Zyro”:據官方消息,BKEX Capital(幣客資本)宣布戰略投資Zilliqa生態Defi項目“Zyro”。Zyro是由Zilliqa社區核心成員基于Zilliqa公鏈開發的去中心化協議,Zyro代幣是Zyro協議的治理代幣,用戶可以通過Zyro代幣參與協議未來的規劃和資金管理。Zyro協議允許用戶通過在去中心化交易所上提供流通性以及交易進行挖礦,同時用戶還可以通過邀請以及成為節點的方式獲得Zyro代幣。Zyro采用更高效的底層公鏈Zilliqa,使得交易速度大幅提升,手續費大幅降低。[2020/9/10]</p>
<p> //swapuptoslippagelimit,takingentireyamreserves,andmintingpartoftotal//SlowMist//增發的多余的代幣給reserves合約uniVars</p>
<p> else{//uniswapcanthandleallofexcessuint256buyTokens=getAmountOut(tokens_to_max_slippage,token1Reserves,token0Reserves);uniVars</p>
<p> <b>}}}</b></p>
<p> 通過對代碼分析,buyReserveAndTransfer首先會計算在Uniswap中用于兌換yCRV的YAM的數量,如果該數量少于YAM的鑄幣數量,則會將多余的增發的YAM幣給reserves合約,這一步是通過Uniswap合約調用?</p>
<p> 幣贏CoinW平臺DeFi幣種今日有波動 DAM領漲:據幣贏行情數據顯示,截止今日10:00(GMT+8),平臺內DeFi幣種今日有波動,DAM領漲,今日漲幅為66.79%,現價0.3017USDT;BOT今日漲幅33.03%,現價670.27USDT;STAKE今日漲幅31.867%,現價11.9571USDT;MLN今日漲幅為29.62%,現價50.0627USDT。行情波動較大,請注意風險控制。[2020/8/18]</p>
<p> rebase?合約的uniswapV2Call函數實現的,具體的代碼如下:</p>
<p> functionuniswapV2Call(</p>
<p> addresssender,</p>
<p> uint256amount0,</p>
<p> uint256amount1,</p>
<p> bytesmemorydata</p>
<p> )</p>
<p> <b>public</b></p>
<p> {</p>
<p> //enforcethatitiscomingfromuniswap</p>
<p> <b>require(msg</b></p>
<p> }else{//minttouniswapyam</p>
<p> //mintunsoldtomintAmount//SlowMist//將多余的YAM代幣分發給reserves合約if(uniVars</p>
<p> //transferreservetokentoreservesif(isToken0){SafeERC20</p>
<p> else{SafeERC20</p>
<p> }</p>
<p> 分析到這里,一個完整的?</p>
<p> rebase?流程就完成了,你可能看得很懵,我們用簡單的流程圖簡化下:</p>
<p> <img alt=)