本文来源:慢雾科技
作者:?yudan@?慢雾安全团队
前言
整个事件的分析如上图,由于?rebase?的时候取的是上一次的totalSupply的值,所以计算错误的totalSupply的值并不会立即通过mint作用到initSupply上,所以在下一次rebase?前,社区仍有机会挽回这个错误,减少损失。但是一旦下一次?rebase?执行,整个失误将会变得无法挽回。
通过查询Etherscan上YAM代币合约的相关信息,可以看到totalSupply已经到了一个非常大的值,而initSupply还未受到影响。
前车之鉴
这次事件中官方已经给出了具体的修复方案,这里不再赘述。这次的事件充分暴露了未经审计DeFi合约中隐藏的巨大风险,虽然YAM开发者已经在Github中表明YAM合约的很多代码是参考了经过充分审计的DeFi项目如Compound、Ampleforth、Synthetix及YEarn/YFI,但是仍无可避免地发生了意料之外的风险。
DeFi项目YamFinance核心开发者belmore在推特上表示:“对不起,大家。我失败了。谢谢你们今天的大力支持。我太难过了。”,但是覆水已经难收,在此,慢雾安全团队给出如下建议:
1、由于DeFi合约的高度复杂性,任何DeFi项目都需在经过专业的安全团队充分审计后再进行上线,降低合约发生意外的风险?。审计可联系慢雾安全团队
2、项目中去中心化治理应循序渐进,在项目开始阶段,需要设置适当的权限以防发生黑天鹅事件。
文章来源:区块链前哨作者:Joyce随着我国将区块链上升为国家战略和纳入“新基建”,各行各业都在对区块链技术展开研究.
1900/1/1 0:00:00本文为区块链业内少有的竞争策略分析类文章,全文约4300字,阅读时长约为8分钟。 图片为柯杰对战AlphaGo第二局棋谱本文故事结构:引子:电话中的焦虑与资金融入的现实今天的局势杀手的现身EOS.
1900/1/1 0:00:00导读北京时间8月4日21时,以太坊2.0多客户端测试网Medalla已正式启动,市场对此反响强烈.
1900/1/1 0:00:00本文来源:机械钟作者:李画不管一个DeFi协议、甚至整个DeFi世界看上去多么陌生和复杂,它本身都是传统金融逻辑,加上适用于区块链或由区块链引发的新逻辑,再加上一点新设计以改进性能.
1900/1/1 0:00:00昨天夜里23:00过后,JustSwap终于上线,其实很多人都在关注JustSwap,这次我也去看了一下这个名字和Uniswap很接近的去中心化交易所。简单评测下这个新上线的DEX.
1900/1/1 0:00:00免责声明:本专栏內容概不构成任何投资意见,內容亦并非就任何个别投资者的特定投资目标、财务状况及个别需要而编制。投资者不应只按本专栏內容进行投资.
1900/1/1 0:00:00
火星链
;}}//SlowMist//问题代码totalSupply=initSupply</p>
<p> }</p>
<p> <b>通过分析最终的?</b></p>
<p> rebase?函数的逻辑,不难发现代码中根据yamsScalingFactor来对totalSupply进行调整,由于yamsScalingFactor是一个高精度的值,在调整完成后应当除以BASE来去除计算过程中的精度,获得正确的值。但是项目方在对totalSupply进行调整时,竟忘记了对计算结果进行调整,导致了totalSupply意外变大,计算出错误的结果。</p>
<p> 分析到这里还没结束,要将漏洞和社区治理关联起来,需要对代码进行进一步的分析。通过观察?rebase?函数的修饰器,不难发现此处限定了只能是rebaser进行调用。而rebaser是YAM中用与实现供应量相关逻辑的合约,也就是说,是rebaser合约最终调用了YAM</p>
<p> Delphi Labs总法律顾问:CFTC行动使DeFi在美国变得非法:金色财经报道,CFTC 同时发布了针对Opyn、ZeroEx和Deridex三个著名DeFi公司的惩罚和和解指控。Delphi Labs总法律顾问Gabriel Shapiro对此表示:“如果你为DeFi信用协议运行任何类型的接口,请不要在美国。当我说CFTC针对OokiDAO的案件根据CFTC的美国法律观点使DeFi变得非法时,很多人告诉我我疯了,但我说的是对的,他们错了”。[2023/9/9 13:28:11]</p>
<p> //SlowMist//取当前YAM代币的供应量uint256currSupply=yam</p>
<p> //rebase//SlowMist//调用YAM的rebase逻辑uint256supplyAfterRebase=yam</p>
<p> 通过分析代码,可以发现函数在进行了一系列的检查后,首先获取了当前YAM的供应量,计算此次的铸币数量,然后再调用YAM</p>
<p> <b>}}}</b></p>
<p> 通过分析发现,afterRebase函数主要的逻辑在buyReserveAndTransfer函数中,此函数用于将增发出来的代币的一部分用于到Uniswap中购买yCRV代币。跟踪buyReserveAndTransfer函数,代码如下:</p>
<p> Quadrata CEO:去中心化身份是DeFi成功的关键基础设施:金色财经报道,Quadrata首席执行官兼联合创始人Fabrice Cheng表示,去中心化身份(DID)和合规服务将成为DeFi成功和现实世界金融资产过渡到区块链的“关键基础设施”。Cheng在接受采访时说,DID需求背后的关键驱动力将来自Web3协议,它将利用用户的DID来建立更好的产品,“迎合”现有客户,也“瞄准新的客户群”。 </p>
<p> Cheng说,DeFi是DID最大的潜在用例,因为如果它们有一个“身份或声誉解决方案”,更多的“现实世界的资产”和机构资本将在链上移动。(Cointelegraph)[2022/10/12 10:32:13]</p>
<p> functionbuyReserveAndTransfer(</p>
<p> uint256mintAmount,</p>
<p> uint256offPegPerc</p>
<p> )</p>
<p> <b>internal</b></p>
<p> {</p>
<p> UniswapPairpair=UniswapPair(uniswap_pair);</p>
<p> YAMTokenInterfaceyam=YAMTokenInterface(yamAddress);</p>
<p> DeFi总锁仓量为765.5亿美元:据DeBank最新数据显示,DeFi总锁仓量为765.5亿美元,净锁仓量为558.3亿美元。当前锁仓金额排名前五的DeFi协议分别是Compound(77亿美元)、PancakeSwap(73亿美元)、Maker(70亿美元)、Aave V2(66亿美元)、Uniswap V2(62亿美元)。[2021/5/30 22:55:38]</p>
<p> //getreserves(uint256token0Reserves,uint256token1Reserves,)=pair</p>
<p> else{if(tokens_to_max_slippage>excess){//uniswapcanhandleentirereservesuint256buyTokens=getAmountOut(tokens_to_max_slippage,token0Reserves,token1Reserves);</p>
<p> //swapuptoslippagelimit,takingentireyamreserves,andmintingpartoftotal//SlowMist//将多余代币铸给reserves合约uniVars</p>
<p> OKEx CEO JayHao:中心化交易所对DeFi的建设需考虑两大层面:9月24日,OKEx CEO JayHao在参加与Flamingo联合举办的社群AMA中,JayHao表示:“中心化交易所对DeFi的建设可以分为两个部分。第一是用户参与上,OKEx开通了多条DeFi业务线,并支持免Gas费一键挖矿。第二是生态建设上,OKEx交易链作为一条完全开源,彻底去中心化的公链,可以实现完全的区域自治。” </p>
<p> 据了解,OKEx交易链未来还将支持预言机,进而支持杠杆、永续等各种衍生品的流动性池或者订单簿交易。[2020/9/24]</p>
<p> else{//uniswapcanthandleallofexcessuint256buyTokens=getAmountOut(tokens_to_max_slippage,token0Reserves,token1Reserves);uniVars</p>
<p> }}else{if(tokens_to_max_slippage>mintAmount</p>
<p> else{if(tokens_to_max_slippage>excess){//uniswapcanhandleentirereservesuint256buyTokens=getAmountOut(tokens_to_max_slippage,token1Reserves,token0Reserves);</p>
<p> DeFi借贷协议bZx将于9月1日开启流动性挖矿:8月31日,DeFi借贷协议bZx官方宣布,将于9月1日开启流动性挖矿。此前消息,在bZx协议的通证经济生态中,分为iToken、pToken和GovernanceToken(BZRX)三种。iToken是用于累积利息的通证,它代表了借贷池中的份额,随着借方向其中支付利息,借贷池中的份额会不断增加。iToken可以交易,用作抵押品,或是由开发人员组合成结构化产品。pToken是用于加杠杆的通证,它代表了某标的资产特定倍数的多头或空头头寸。BZRX则是治理通证,为中继节点收集交易手续费,有点像中心化交易平台中有权益属性的平台币。[2020/8/31]</p>
<p> //swapuptoslippagelimit,takingentireyamreserves,andmintingpartoftotal//SlowMist//增发的多余的代币给reserves合约uniVars</p>
<p> else{//uniswapcanthandleallofexcessuint256buyTokens=getAmountOut(tokens_to_max_slippage,token1Reserves,token0Reserves);uniVars</p>
<p> <b>}}}</b></p>
<p> 当前DeFi中锁定资产总价值达30</p>
<p> }else{//minttouniswapyam</p>
<p> //mintunsoldtomintAmount//SlowMist//将多余的YAM代币分发给reserves合约if(uniVars</p>
<p> //transferreservetokentoreservesif(isToken0){SafeERC20</p>
<p> else{SafeERC20</p>
<p> }</p>
<p> 分析到这里,一个完整的?</p>
<p> rebase?流程就完成了,你可能看得很懵,我们用简单的流程图简化下:</p>
<p> <img alt=)