本文来源:慢雾科技
作者:?yudan@?慢雾安全团队
前言
整个事件的分析如上图,由于?rebase?的时候取的是上一次的totalSupply的值,所以计算错误的totalSupply的值并不会立即通过mint作用到initSupply上,所以在下一次rebase?前,社区仍有机会挽回这个错误,减少损失。但是一旦下一次?rebase?执行,整个失误将会变得无法挽回。
通过查询Etherscan上YAM代币合约的相关信息,可以看到totalSupply已经到了一个非常大的值,而initSupply还未受到影响。
前车之鉴
这次事件中官方已经给出了具体的修复方案,这里不再赘述。这次的事件充分暴露了未经审计DeFi合约中隐藏的巨大风险,虽然YAM开发者已经在Github中表明YAM合约的很多代码是参考了经过充分审计的DeFi项目如Compound、Ampleforth、Synthetix及YEarn/YFI,但是仍无可避免地发生了意料之外的风险。
DeFi项目YamFinance核心开发者belmore在推特上表示:“对不起,大家。我失败了。谢谢你们今天的大力支持。我太难过了。”,但是覆水已经难收,在此,慢雾安全团队给出如下建议:
1、由于DeFi合约的高度复杂性,任何DeFi项目都需在经过专业的安全团队充分审计后再进行上线,降低合约发生意外的风险?。审计可联系慢雾安全团队
2、项目中去中心化治理应循序渐进,在项目开始阶段,需要设置适当的权限以防发生黑天鹅事件。
标签:DEFEFIDEFITOKENPi Network DeFiPureFiInfiniityDeFiimtoken钱包怎么提现
撰文:张改娟 过去一年,韩国在央行数字货币的研发进展上有明显的提速,并且将在明年进行数字货币试点测试,还将在试点测试中运用去中心化技术等最新IT技术,以对未来支付结算系统进行创新和发展.
转自:碳链价值 作者:孙润晨 这是围链夜话的第四期,本期的主角:不稳定的稳定币USDT。在讨论USDT是否会暴雷之前,我们不妨先看看它的锚定物——美元,是如何暴雷又是如何成为世界货币的.
据Cointelegraph报道,目前,韩国已有100万人放弃了实物驾照,转而使用与手机端应用PASS相结合的区块链数字驾照。这一比例超过了韩国全部驾驶人员的3%.
转自: 一本区块链 沉寂两年后,以太坊“重出江湖”。近两周来,以太坊币价大涨78%,成为了当之无愧的“牛市发动机”。除了币价,以太坊的交易量、活跃地址数涨势更加喜人。“以太坊币价上涨存在支撑.
这几天网上的文章出现了一种论调:认为以太坊现在的价格有很大的隐忧。这种观点认为以太坊现在的价格主要得益于DeFi的繁荣,但认为DeFi目前的繁荣并没有坚实的需求作为基础,目前的繁荣多是建立在投机.
本文来源:证券日报·金融1号院8月17日,2020区块链生态合作大会在上海举行,中国银保监会重点金融机构监事会监事陈伟钢发表题为“区块链政策导向与应用前景“的主题演讲.
区块见闻
;}}//SlowMist//问题代码totalSupply=initSupply</p>
<p> }</p>
<p> <b>通过分析最终的?</b></p>
<p> rebase?函数的逻辑,不难发现代码中根据yamsScalingFactor来对totalSupply进行调整,由于yamsScalingFactor是一个高精度的值,在调整完成后应当除以BASE来去除计算过程中的精度,获得正确的值。但是项目方在对totalSupply进行调整时,竟忘记了对计算结果进行调整,导致了totalSupply意外变大,计算出错误的结果。</p>
<p> 分析到这里还没结束,要将漏洞和社区治理关联起来,需要对代码进行进一步的分析。通过观察?rebase?函数的修饰器,不难发现此处限定了只能是rebaser进行调用。而rebaser是YAM中用与实现供应量相关逻辑的合约,也就是说,是rebaser合约最终调用了YAM</p>
<p> 法国金融市场管理局:未来几年可能是 DeFi 行业的关键时期,将推出一个平衡的监管框架:6月27日消息,法国金融市场管理局(AMF)在发布的一份 DeFi 讨论报告中表示,DeFi 当前处于发展初期阶段,一方面可以推动创新,另一方面也给参与者带来了风险,同时也给监管机构带来更大的挑战。未来几年可能是 DeFi 行业的关键时期。 </p>
<p> 在法国,审慎监管局(ACPR)已经就 DeFi 监管提出了一些建议,并已提交咨询。欧盟层面来看,欧盟委员会将不得不评估与加密资产市场中 DeFi 相关的发展,并评估在加密资产市场(MiCA)法规生效后对 DeFi 系统进行监管处理的必要性。国际机构和组织(如 IOSCO 和 FSB)开展的工作也将进一步明确向司法管辖区提出的有关 DeFi 监管处理的指导或建议。AMF 完全支持这些举措,并打算增加与公共和私人利益相关者的接触,以期形成一个平衡的监管框架,从长远来看,这将有助于支持 DeFi 的健康发展。[2023/6/27 22:03:52]</p>
<p> //SlowMist//取当前YAM代币的供应量uint256currSupply=yam</p>
<p> //rebase//SlowMist//调用YAM的rebase逻辑uint256supplyAfterRebase=yam</p>
<p> 通过分析代码,可以发现函数在进行了一系列的检查后,首先获取了当前YAM的供应量,计算此次的铸币数量,然后再调用YAM</p>
<p> DeFi协议总锁仓量达764.2亿美元:金色财经报道,据DefiLlama数据显示,DeFi协议总锁仓量(TVL)达到764.2亿美元,24小时内跌幅为1.82%。TVL排名前五分别为MakerDAO(75.9亿美元)、AAVE(59.5亿美元)、Curve(53.1亿美元)、Uniswap(52.3亿美元)、Lido(46.5亿美元)。[2022/7/11 2:04:04]</p>
<p> <b>}}}</b></p>
<p> 通过分析发现,afterRebase函数主要的逻辑在buyReserveAndTransfer函数中,此函数用于将增发出来的代币的一部分用于到Uniswap中购买yCRV代币。跟踪buyReserveAndTransfer函数,代码如下:</p>
<p> functionbuyReserveAndTransfer(</p>
<p> uint256mintAmount,</p>
<p> uint256offPegPerc</p>
<p> )</p>
<p> <b>internal</b></p>
<p> {</p>
<p> UniswapPairpair=UniswapPair(uniswap_pair);</p>
<p> YAMTokenInterfaceyam=YAMTokenInterface(yamAddress);</p>
<p> DeFi协议总锁仓量跌破1000亿美元:金色财经报道,据DefiLlama数据显示,DeFi协议总锁仓量(TVL)达到965.3亿美元,24小时跌幅为5.07%。TVL排名前五分别为MakerDAO(86.8亿美元)、AAVE(74.5亿美元)、Curve(74亿美元)、Lido(65.2亿美元)、Uniswap(54.2亿美元)。[2022/6/13 4:20:43]</p>
<p> //getreserves(uint256token0Reserves,uint256token1Reserves,)=pair</p>
<p> else{if(tokens_to_max_slippage>excess){//uniswapcanhandleentirereservesuint256buyTokens=getAmountOut(tokens_to_max_slippage,token0Reserves,token1Reserves);</p>
<p> //swapuptoslippagelimit,takingentireyamreserves,andmintingpartoftotal//SlowMist//将多余代币铸给reserves合约uniVars</p>
<p> else{//uniswapcanthandleallofexcessuint256buyTokens=getAmountOut(tokens_to_max_slippage,token0Reserves,token1Reserves);uniVars</p>
<p> 比特币交易金额连续4日下降,较一周高点下降71.49%:6月20日消息,据Tokenview数据显示,比特币交易金额连续4日下降,昨日比特币交易金额为504.2万BTC,较一周高点下降71.49%。此前曾在6月15日交易金额创新高,为1768.5万BTC。[2022/6/20 4:40:09]</p>
<p> }}else{if(tokens_to_max_slippage>mintAmount</p>
<p> else{if(tokens_to_max_slippage>excess){//uniswapcanhandleentirereservesuint256buyTokens=getAmountOut(tokens_to_max_slippage,token1Reserves,token0Reserves);</p>
<p> //swapuptoslippagelimit,takingentireyamreserves,andmintingpartoftotal//SlowMist//增发的多余的代币给reserves合约uniVars</p>
<p> else{//uniswapcanthandleallofexcessuint256buyTokens=getAmountOut(tokens_to_max_slippage,token1Reserves,token0Reserves);uniVars</p>
<p> TokenPocket?CBO?Michael:Defi趋势已经出来,而且未来是可以长期可持续发展的:由Lotus总冠名,金色财经、链上ChainUP主办,BTSLabs、Vtrading协办,深圳多家区块链企业联合赞助的金色LIVE在深圳首家区块链酒吧BTCLOUNGE举办。TokenPocket?CBO?Michael在演讲《圆桌论坛2:专家眼中的安全之道》中表示,很多用户他在挖矿的时候,每挖一个矿就放一个地址,这样做非常的麻烦,但是即使这么麻烦,他们也愿意去保障自己的资金安全。 </p>
<p> 我和团队就在想,有没有可能我们用一种硬件钱包可以去保护用户的资产安全,不让用户成天提心吊胆。但是目前市面上的钱包使用非常低,费用非常贵,带出去也不方便,像砖头一样,也不便于携带。所以Defi趋势已经出来了,而且未来是可以长期可持续发展的,所以高频使用硬件钱包会成为一种趋势和刚需。但是市面上没有一种消费级别的钱包,方便携带,价格亲民的这种。[2021/3/17 18:54:13]</p>
<p> <b>}}}</b></p>
<p> 通过对代码分析,buyReserveAndTransfer首先会计算在Uniswap中用于兑换yCRV的YAM的数量,如果该数量少于YAM的铸币数量,则会将多余的增发的YAM币给reserves合约,这一步是通过Uniswap合约调用?</p>
<p> rebase?合约的uniswapV2Call函数实现的,具体的代码如下:</p>
<p> functionuniswapV2Call(</p>
<p> addresssender,</p>
<p> uint256amount0,</p>
<p> uint256amount1,</p>
<p> bytesmemorydata</p>
<p> )</p>
<p> <b>public</b></p>
<p> {</p>
<p> //enforcethatitiscomingfromuniswap</p>
<p> <b>require(msg</b></p>
<p> }else{//minttouniswapyam</p>
<p> //mintunsoldtomintAmount//SlowMist//将多余的YAM代币分发给reserves合约if(uniVars</p>
<p> //transferreservetokentoreservesif(isToken0){SafeERC20</p>
<p> else{SafeERC20</p>
<p> }</p>
<p> 分析到这里,一个完整的?</p>
<p> rebase?流程就完成了,你可能看得很懵,我们用简单的流程图简化下:</p>
<p> <img alt=)