BOS:首发 | 一朝跌落云端 Yam Financial智能合约漏洞事件分析 ?

红薯刚种下，就得挖出来了？

今日DeFi领域再次发生一起魔幻事件，呼声极高的红薯项目一经上线，流动性矿工们就开始疯狂涌入。短短8个小时内，YamFinance中锁仓总价值就超过2亿美元。COMP挖矿带动了DeFi产业出圈，而YAM直接带动了DeFi头部项目集体上涨，堪称“一飞冲天”。

然而短短36小时内，眼见它高楼起，高楼塌。数亿美元因为一个小小的漏洞，消失于无形。本以为反应迟钝的自己损失了一个亿，没想到保住了自己的五块钱。

好好的小红薯，究竟承受了什么？

LBank蓝贝壳于4月9日16:50首发 BOSON:据官方公告，4月9日16:50，LBank蓝贝壳首发BOSON(Boson Protocol)，开放USDT交易，4月9日16:00开放充值，4月12日16:00开放提现。上线同一时间开启充值交易BOSON瓜分10,000 USDT。

LBank蓝贝壳于4月9日16:50开启充值交易BOSON瓜分10,000 USDT。用户净充值数量不少于1枚BOSON ，可按净充值量获得等值1%的BOSON的USDT空投奖励；交易赛将根据用户的BOSON交易量进行排名，前30名可按个人交易量占比瓜分USDT。详情请点击官方公告。[2021/4/9 20:02:26]

事件背景

首发 | 欧科云链推出“天眼方案”推动链上安全系统再升级:8月28日，区块链产业集团欧科云链宣布推出区块链“天眼方案”，主要通过链上数据追踪系统研发、对外技术支持、凝聚企业众力等途径，全面助力区块链安全提升和产业平稳健康发展。

据了解，在“天眼方案”下，欧科云链集团将打造链上数据追踪系统，通过溯源数字资产、监控非法交易等手段，全力遏制等非法行为；协助执法机关办案，并为打造法务等区块链系统提供技术支持；为联盟链和基于各类业务的链上数据提供区块链+大数据的解决方案。[2020/8/28]

8月12日，YAMFinance官方宣布他们发现了一个智能合约漏洞，并称该漏洞将生成超出最初设定数量的YAM代币。在这种情况下，大量的保留代币将造成治理操作所需的代币数量过大。这意味着社区将来将没有足够的代币来执行任何治理操作。

首发 | 此前18000枚BTC转账是交易所Bithumb内部整理:北京链安链上监测系统发现，北京时间10月24日，17:07分发生了一笔18000枚BTC的转账，经分析，这实际上是交易所Bithumb的内部整理工作，将大量100到200枚BTC为单位的UTXO打包成了18笔1000枚BTC的UTXO后转入其内部地址。通常，对各种“面值”的UTXO进行整数级别的整理，属于交易所的规律性操作。[2019/10/24]

智能合约漏洞出现在哪里？

该漏洞发生在YAM项目智能合约YAM.sol的rebase功能上，如下图所示：

图片来源:?

https://github.com/yam-finance/yam-protocol/blob/767e3a4a6918b6fb6100ad6bb356164408f5d82f/contracts/token/YAM.sol#L340

上图中的rebase功能应该执行rebase，以保持稳定的价格。但是，有一行代码在计算totalSupply时，给出了错误的结果，这会导致系统保留的代币数量过多。

这行代码的正确代码/计算方程形式应类似于以下代码/方程：

totalSupply?=initSupply.mul(yamsScalingFactor).div(BASE);

那么是否可以在截止日期之前通过治理操作来修复此漏洞？

第二次调整是在美国东部时间8月13日凌晨4点。

YAMFinance公开宣布，在美东时间凌晨3点之前，他们需要约16万YAM委托要求才能提交治理提案。如果在投票窗口中得到的委托超过40万YAM，则该提案将允许用户将YAM自行转移或存入储备池。?

有一个好消息是，YAM获得了其社区的大力支持，并且该提案已成功提交。但是，新提交的提案无法在智能合约中运行，所以YAM目前依旧是一个不可管理的状态。

YAM的现状

YAMFinance目前已经失去了治理能力，75％的流动资金已经从YAM/yCRV未拨出资金池中移出。但是，其余的流动资金将从储备库中删除。

据官方消息，Gate.io将为YAMGitcoin捐赠，捐赠资金将被用于对YAM合约进行审计。审计完成后，YAM合约将迁移到YAM2.0。

如何避免？

CertiK安全团队强烈建议：

所有区块链项目在正式发布之前不仅需要使用严格的软件测试工具来验证项目的代码安全性，更是应该邀请多个第三方区块链安全团队，做好对区块链项目中代码的验证审计工作，并在每次更新代码后进行重新审计。从而设计一个更好的项目管理系统，以备进行项目紧急更新的需求。

我们绝不仅仅是寻找漏洞，而是要消除哪怕只有0.00000001%被攻击的可能性。

标签：YAMSON区块链BOSYamv3simpson币发行总量区块链币在哪个平台交易bos币是什么

pepe最新价格热门资讯