安?實驗室發布「YFII流動性挖礦合約安全性研究」，所涉四項合約未包含致命安全漏洞_YFI

YFII是一個新型去中心化DeFi礦池，應社區小伙伴邀請，安比實驗室于2020年7月27日至8月2日對YFII智能合約進行了安全性研究。分析對象為下列合約：YFIIPool1:0xb81D3cB2708530ea990a287142b82D058725C092YFIIPool2:0xAFfcD3D45cEF58B1DfA773463824c6F6bB0Dc13aYFIIToken:0xa1d0E215a23d7030842FC67cE582a6aFa3CCaB83BPTToken:0x16cAC1403377978644e78769Daa49d8f6B6CF565初步分析結果表明，以上四個合約并未包含致命安全漏洞。安比實驗室希望通過本文對研究過程做一個記錄和總結，Token價格、經濟模型、其他外部合約模塊、以及未來新的合約不在本文討論內。YFII和YFI是什么

YearnFinance是一個DeFi收益聚合器，于7月17日推出治理TokenYFI后因其新穎的分發機制和治理方案迅速引爆了流動性挖礦市場。而YFII是對YFI項目的分叉，遵循YIP-8，實施了類似比特幣的減半機制。YFII相對YFI做了哪些改動

數據：比特幣市場占有率為46.7%:金色財經報道，據CoinGecko數據顯示，當前加密貨幣市值為,264,403,506,385美元，24小時交易量為29,303,543,703美元，當前比特幣市值為590,627,440,356美元，以太坊市值為232,896,732,582美元。市場占有率：BTC為46.7%，ETH為18.4%。[2023/7/17 10:58:44]

目前，YFII合約代碼均直接Fork自YearnFinance，做了較小的改動以支持YFIIToken的定期減半分發。下表為YFII涉及的合約與YFI合約對應關系及地址。

YFI/YFIIToken為項目治理Token合約，二者實現一致，具體為一個帶mint和簡單governance功能的標準ERC-20Token。BPTToken為BalancerPoolToken合約，是做市商的流動性證明Token，實際由自動做市協議Balancer的BFactory入口合約創建，因此二者實現完全一致。該合約代碼此前由TrailofBits和ConsensysDiligence進行過審計。Pool1和Pool2是用于分發治理Token的流動性挖礦合約，Pool1和Pool2的代碼實現一致，均被稱為YearnRewards合約，而YFII相對于YFI的改動即在這該合約中。YFIIPool1和Pool2合約相對于原始代碼新增了checkStart()和checkhalve()兩個修飾符函數，分別用于控制挖礦開始時間，和治理Token周期性地產量減半。YFII&YFI核心合約簡析

兩巨鯨地址向Binance存入約370萬美元PENDLE:7月3日消息，據Spot On Chain監測，兩巨鯨地址向Binance存入大量PENDLE。0x554開頭巨鯨地址在休眠284天后，于30分鐘前向Binance存入其全部218.8萬枚PENDLE（約 253 萬美元）。0xa9e開頭巨鯨地址于20分鐘前向Binance存入100萬枚PENDLE（約117萬美元）。[2023/7/3 22:15:07]

YFII和YFI流動性挖礦的核心合約代碼YearnRewards實際源自于Synthetix項目的Unipool，原本用于獎勵在Uniswap上為ETH/sETH交易對提供流動性的做市商SNXToken，該代碼之前經過SigmaPrime審計。基于YearnRewards的流動性挖礦整個流程可以分為以下幾步：具有RewardDistribution權限的地址，預先通過調用YearnRewards合約的notifyRewardAmount()函數，設置獎勵數額，而對應金額的YFIToken應由YFIminter轉入YearnRewards合約中。礦工向YearnRewards合約指定的目標DeFi合約提供流動性，拿到對應的流動性證明Token，該Token可以用于換回資產以及賺取利息或手續費收益。礦工將得到的PoolToken通過調用stake()函數存入YearnRewards合約中，合約自動根據Stake時長和礦工存入資金規模占資金池總規模的大小來計算礦工應得的獎勵。礦工可隨時提走自己的應有獎勵以及之前存入的PoolToken。通常一個YearnRewards合約專門用于單個特定DeFi項目的流動性挖礦，如Pool1對接Curve項目的y池，Pool2對接Balancer上的YFI-DAIPool。一些發現

美聯儲貼現利率會議紀要：三家地方聯儲尋求美聯儲將貼現利率提高50個基點:金色財經報道，美聯儲發布2月21日至3月22日貼現利率會議的紀要：明尼阿波利斯聯儲、圣路易斯聯儲、克利夫蘭聯儲這三家地方聯儲支持美聯儲實施更大幅度的貼現利率加息。[2023/4/19 14:12:07]

前面提到YFII相對于YFI的改動，代碼改動整體較小。新增兩個修飾器函數用于約束stake()withdraw()getReward()三個主要功能函數。

notifyRewardAmount()函數中新增了一行代碼，用于在notify的同時直接控制YFIToken合約mint指定數量的Token到當前YearnRewards合約，將其作為獎勵用于分發。因此，Pool1和Pool2合約必須是YFIIToken合約的minter。這讓YFII與YFI在Token分發細節邏輯上稍有不同。YFI每期獎勵的分發都需要由特定地址負責設置金額并轉入Token。而YFII除了第一期開始前執行了notifyRewardAmount()操作，之后會隨著用戶的調用，產量自動定期減半。

區塊鏈安全平臺Ironblocks推出面向DeFi協議的威脅檢測平臺:3月16日消息，區塊鏈安全平臺Ironblocks于周三推出一款安全產品，首席執行官Or Dadosh表示，這款產品可以幫助基于智能合約的金融程序在遭受損失之前獲得幫助。這是一個威脅檢測平臺，可以插入到DeFi協議中，以監視和標記任何可疑的資產轉移。

此前2月消息，Ironblocks完成700萬美元融資。（CoinDesk）[2023/3/16 13:07:24]

另外，在與社區開發者Madao和gaojin討論代碼細節的過程中，Madao提到Token產量自動減半的執行需要依賴checkhalve()函數的執行，實際則依賴用戶與合約交互，執行時間無法精準控制到上一個周期的結尾，減半發生時間會與預期時間存在一定的時間差，并且合約減半實際發生時間很大概率晚于預期時間。特別地，合約計算獎勵時會將兩個周期間多出來的時間差計算在內，導致給每個用戶計算的獎勵值會略高于預期值，產生了一定誤差。進而我們發現，只要誤差存在，理論上最后一個從Pool中提取reward的人可能無法正常提現。這是因為合約在減半的同時MintYFIIToken至Pool合約。由于前面誤差的存在，導致合約中用戶賬面收益高于實際Mint出來的Token數量。誤差的大小計算方法為每個周期結束時間與下次減半發生實際發生時間之間的時間差Delta乘以減半后的rewardRate。根據上圖測算，平均延時60秒減半，累計誤差在1個YFII以內。只要能控制時間誤差足夠小，再加上持續有下一周期的Token作為補充，因此該誤差問題影響較小。YFII管理員權限處理

Whinstone要求科技公司GMO賠償1500萬美元:金色財經報道，根據周一提交給美國紐約南區地方法院的一份文件，Riot公司的Whinstone比特幣礦場要求日本科技公司GMO互聯網賠償至少1500萬美元，因為有關設備使用的糾紛已經持續了四年。

此前，GMO互聯網公司于6月10日向紐約最高法院提起訴訟，要求Whinstone公司賠償5000萬美元損失，原因是該公司被指未能在路易斯安那州和德克薩斯州的站點上安裝GMO機器，以及電力收費過高。

根據GMO的投訴，路易斯安那州的工廠推遲了3個月開始運營，產能為385臺，而不是原先約定的近66700臺。據GMO稱，該網站于2019年7月關閉，因為它無法確保足夠的電力運行。Whinstone聲稱，由于未能就新合同達成一致，以及為GMO購買的電力尚未使用，它應受到損害賠償。（coindesk）[2022/8/25 12:48:38]

YFI類Token都存在鑄幣接口，具有mint權限的地址可以增發Token。YFI類Token還存在Governance管理員，具有權限添加和刪除Minter。通常理想情況下這些地址特殊權限地址應該為多簽合約或其他專門合約。另外YearnRewards合約有rewardDistribution權限地址，用于調用notifyRewardAmount()函數設置獎勵金額。YearnRewards合約還存在owner權限地址，用于設置rewardDistribution地址。目前，YFII項目的做法是將YFIIToken的Governance管理員、Pool1和Pool2的rewardDistribution均設為了0地址。管理員權限銷毀記錄可參見https://burn.yfii.finance/。經查驗，管理員權限銷毀屬實。目前只有Pool1和Pool2兩個合約地址具有YFIIToken的mint權限，屬于為了實現周期性減半的必要權限，且未來無法被濫用。特別值得一提地是，原版YFIToken代碼實現中，并未給addMinter()該特權函數添加Event，導致普通用戶無法方便地查看究竟合約有多少minter。當心，這讓各種類YFI項目非常容易藏入后門。經查驗，YFIIToken合約總共只有兩條addMinter()記錄，分別為Pool1和Pool2合約添加mint權限，未引入多余的minter。總結

YFI整體是一次非常有意義的DeFi創新實驗，通過YearnFinance我們看到去中心化的治理代幣分發，充分激發了DeFi社區的挖礦和治理熱情。YFII在YFI的基礎上實現了YIP-8提案，探索了一種可能更公平的治理代幣分發方案，并且短時間在社區內產生了較大影響，發展勢頭驚人。安全建議

隨著流動性挖礦和DeFi產品的火熱，市面上涌現出來各種新型DeFi智能合約，組合性風險劇增。安比實驗室提醒用戶與任何DeFi項目交互時一定要注意安全第一，認清域名、合約地址，仔細審查所有與資金相關的操作，盡量不要與來源不明的智能合約交互。另外，我們應更多關注DeFi產品本身和智能合約安全，分析價值基礎和風險來源，不盲信APR，只投入能夠承受損失的金額。特別提醒，記得用本文中提供的線索自行檢查參與的類YFI項目管理員權限。

Tags：YFIKENTOKTOKEYFIM幣etkstoken如何揪出imtoken騙子imtoken錢包官方版下載地址

FIL幣