本文來源:慢霧科技
作者:?yudan@?慢霧安全團隊
前言
整個事件的分析如上圖,由于?rebase?的時候取的是上一次的totalSupply的值,所以計算錯誤的totalSupply的值并不會立即通過mint作用到initSupply上,所以在下一次rebase?前,社區仍有機會挽回這個錯誤,減少損失。但是一旦下一次?rebase?執行,整個失誤將會變得無法挽回。
通過查詢Etherscan上YAM代幣合約的相關信息,可以看到totalSupply已經到了一個非常大的值,而initSupply還未受到影響。
前車之鑒
這次事件中官方已經給出了具體的修復方案,這里不再贅述。這次的事件充分暴露了未經審計DeFi合約中隱藏的巨大風險,雖然YAM開發者已經在Github中表明YAM合約的很多代碼是參考了經過充分審計的DeFi項目如Compound、Ampleforth、Synthetix及YEarn/YFI,但是仍無可避免地發生了意料之外的風險。
DeFi項目YamFinance核心開發者belmore在推特上表示:“對不起,大家。我失敗了。謝謝你們今天的大力支持。我太難過了。”,但是覆水已經難收,在此,慢霧安全團隊給出如下建議:
1、由于DeFi合約的高度復雜性,任何DeFi項目都需在經過專業的安全團隊充分審計后再進行上線,降低合約發生意外的風險?。審計可聯系慢霧安全團隊
2、項目中去中心化治理應循序漸進,在項目開始階段,需要設置適當的權限以防發生黑天鵝事件。
Tags:INTRESSERYAMLazyMintInterest Bearing Bitcoinsero幣挖礦顯卡算力YAM價格
2020年5月13日,一個名叫Lubian的礦池突然空降BTC.com礦池榜單,以超過6000P的算力強勢登榜,排名第5.
1900/1/1 0:00:00在接受Cointelegraph的采訪時,IBM金融服務和數字資產主管NitinGaur分享了這家科技公司如何幫助金融機構利用DeFi活動.
1900/1/1 0:00:00越來越多的國內企業開始主動或應客戶要求使用R3Corda平臺進行交易,但很多企業對于該平臺的特性、使用注意事項及相關法律風險并不十分了解.
1900/1/1 0:00:00對于常規的證券交易所來說,有一些關鍵的要素決定它是否能夠經營成功。這些因素包括交易所各個方面的安全性,性能,穩定性,以及相關的清算結算系統的安全性和穩定性等等.
1900/1/1 0:00:00這是我今年在EthCC演講的主題,年復一年,DAO越來越受到加密貨幣社區甚至其他群體的關注,但我們距離DAO的黃金時期還很遙遠.
1900/1/1 0:00:00加密資產管理公司Grayscale本周起在全美多家媒體投放廣告,以說服大眾投資比特幣和以太坊等數字貨幣.
1900/1/1 0:00:00