本文来源:慢雾科技
作者:?yudan@?慢雾安全团队
前言
整个事件的分析如上图,由于?rebase?的时候取的是上一次的totalSupply的值,所以计算错误的totalSupply的值并不会立即通过mint作用到initSupply上,所以在下一次rebase?前,社区仍有机会挽回这个错误,减少损失。但是一旦下一次?rebase?执行,整个失误将会变得无法挽回。
通过查询Etherscan上YAM代币合约的相关信息,可以看到totalSupply已经到了一个非常大的值,而initSupply还未受到影响。
前车之鉴
这次事件中官方已经给出了具体的修复方案,这里不再赘述。这次的事件充分暴露了未经审计DeFi合约中隐藏的巨大风险,虽然YAM开发者已经在Github中表明YAM合约的很多代码是参考了经过充分审计的DeFi项目如Compound、Ampleforth、Synthetix及YEarn/YFI,但是仍无可避免地发生了意料之外的风险。
DeFi项目YamFinance核心开发者belmore在推特上表示:“对不起,大家。我失败了。谢谢你们今天的大力支持。我太难过了。”,但是覆水已经难收,在此,慢雾安全团队给出如下建议:
1、由于DeFi合约的高度复杂性,任何DeFi项目都需在经过专业的安全团队充分审计后再进行上线,降低合约发生意外的风险?。审计可联系慢雾安全团队
2、项目中去中心化治理应循序渐进,在项目开始阶段,需要设置适当的权限以防发生黑天鹅事件。
来源|?blog.rotki.com作者|LefterisKarapetsas引介本文探讨以下主题:什么是DeFi、DeFi会解锁哪些新的可能性、为什么DeFi这么酷这么火;然后谈谈DeFi不好.
1900/1/1 0:00:00灰度ETHE信托最高溢价超过900%,目前溢价依然保持在300%,GBTC溢价则长期维持在18%左右。一方面是套利需求,另一方面是FOMO情绪,但总体上是后者占比更大.
1900/1/1 0:00:00Overview概述项目优势一:在过去一周整个去中心化交易所市场的整体交易额为15.85亿美金,其中Uniswap过去一周交易额排名第一,交易总金额为7.3亿美金.
1900/1/1 0:00:00数字资产管理公司Grayscale周一宣布,其推出的GrayscaleBitcoinCashTrust和GrayscaleLitecoinTrust已可以公开交易.
1900/1/1 0:00:008月18日晚,巴比特学院第5期公开课正式开讲。本期课程邀请了数字资产研究院副院长、通证思维实验室发起人孟岩,以“DeFi的现实、逻辑和趋势”为主题进行分享.
1900/1/1 0:00:00BlockVC策略研究在《把握货币宽松背景下的“结构性牛市”》中提出,在全球货币宽松与美元指数持续走弱的大背景下,资产水涨船高,推升金价向上突破似乎已成必然.
1900/1/1 0:00:00
月亮链
;}}//SlowMist//问题代码totalSupply=initSupply</p>
<p> }</p>
<p> <b>通过分析最终的?</b></p>
<p> rebase?函数的逻辑,不难发现代码中根据yamsScalingFactor来对totalSupply进行调整,由于yamsScalingFactor是一个高精度的值,在调整完成后应当除以BASE来去除计算过程中的精度,获得正确的值。但是项目方在对totalSupply进行调整时,竟忘记了对计算结果进行调整,导致了totalSupply意外变大,计算出错误的结果。</p>
<p> 分析到这里还没结束,要将漏洞和社区治理关联起来,需要对代码进行进一步的分析。通过观察?rebase?函数的修饰器,不难发现此处限定了只能是rebaser进行调用。而rebaser是YAM中用与实现供应量相关逻辑的合约,也就是说,是rebaser合约最终调用了YAM</p>
<p> Shapeshift创始人:DeFi已经解决了山寨币的监管清晰度问题:金色财经报道,Shapeshift创始人兼比特币长期倡导者Erik Voorhees认为,DeFi已经解决了监管明确性问题,禁止人们拥有或交易大多数加密货币。Voorhees表示,DeFi本质上是“无需许可”的,这意味着如果人们想要交易和拥有未在中心化交易所上市的山寨币,他们可以转向去中心化协议。DeFi协议不需要明确的监管或运营许可,除了将DeFi相关交易定为非法之外,政府几乎无能为力进行干预。[2023/7/2 22:13:12]</p>
<p> //SlowMist//取当前YAM代币的供应量uint256currSupply=yam</p>
<p> //rebase//SlowMist//调用YAM的rebase逻辑uint256supplyAfterRebase=yam</p>
<p> 通过分析代码,可以发现函数在进行了一系列的检查后,首先获取了当前YAM的供应量,计算此次的铸币数量,然后再调用YAM</p>
<p> <b>}}}</b></p>
<p> PeckShield:BSC链上项目收益农场EvoDefi遭到攻击,GEN短时下跌57%:6月10日消息,PeckShield“派盾”预警显示,BSC链上项目收益农场EvoDefi遭到攻击,其代币GEN价格从2</p>
<p> 通用DeFi服务Prism Network推出Polygon基础设施集成:官方消息,通用DeFi服务Prism Network推出Polygon基础设施集成,用户可以在以太坊网络将PRISM跨链至Polygon Network(pPRISM)。[2021/6/4 23:12:03]</p>
<p> else{if(tokens_to_max_slippage>excess){//uniswapcanhandleentirereservesuint256buyTokens=getAmountOut(tokens_to_max_slippage,token0Reserves,token1Reserves);</p>
<p> //swapuptoslippagelimit,takingentireyamreserves,andmintingpartoftotal//SlowMist//将多余代币铸给reserves合约uniVars</p>
<p> else{//uniswapcanthandleallofexcessuint256buyTokens=getAmountOut(tokens_to_max_slippage,token0Reserves,token1Reserves);uniVars</p>
<p> 波卡DeFi项目Equilibrium将在Kusama发布DeFi平行链Genshiro:4月17日消息,波卡DeFi项目Equilibrium将在Kusama上推出DeFi平行链Genshiro,并将参与平行链插槽拍卖。 </p>
<p> 据悉,不同于其平台Polkadot版本,Genshiro从一开始就会支持大量ERC-20代币;其治理模式的工作原理是让用户质押GENS(Genshiro基于Kusama的实用型代币)针对新系统参数进行提议和投票。用户的资金质押时间越长,其投票对提案的影响就越大。关于GENS代币经济学,EQ:GENS=1:10,EQ初始供应量为1.2亿枚,Kusama上GENS代币总供应量为12亿枚。 </p>
<p> 关于Polkadot上现有EQ持有者的Lockdrop,在Polkadot上分配并归属EQ的用户可以获得Kusama上GENS代币数量10倍的代币。不过他们将需要在三个月内质押未解锁的EQ代币,而GENS将被自动计入锁定的分配额度(在Genshiro创世区块被归属)。如果用户解锁了代币,需要将其锁定3个月,未解锁的每枚代币才能获得10枚GENS。 </p>
<p> Equilibrium还表示,希望Equilibrium和Genshiro可以在Kusama和Polkadot以外的地方使用。[2021/4/17 20:31:17]</p>
<p> }}else{if(tokens_to_max_slippage>mintAmount</p>
<p> ConsenSysCodefi推出Filecoin市场应用程序以及基于Ren的以太坊桥接功能:由ConsenSys推出的、支持机构级以太坊2.0Staking质押服务的平台Consen SysCodefi宣布将于本月通过市场应用程序Filecoin Storage以及以太坊桥接服务FilecoinDeFi Bridge帮助去中心化存储项目Filecoin启动主网。根据公告显示,ConsenSysCodefi增加对Filecoin的支持,并通过旗下专注于提供DeFi相关的代币化合规产品的Activate平台帮助Filecoin启动网络。Filecoin主网将于区块148,888高度启动,预计将在10月15日左右启动。ConsenSys Codefi Activate将提供Filecoin Storage以及FilecoinDeFi Bridge两种产品,旨在为Filecoin主网的早期市场动态带来必要的可用性。Filecoin Storage为Filecoin矿工市场,将帮助矿工提供买卖的最佳价格。FilecoinDeFi Bridge将帮助桥接Filecoin代币FIL转化为基于以太坊网络的ERC20FIL代币,同时该桥接服务将去中心化跨链解决方案RenProtocol提供支持。[2020/10/2]</p>
<p> else{if(tokens_to_max_slippage>excess){//uniswapcanhandleentirereservesuint256buyTokens=getAmountOut(tokens_to_max_slippage,token1Reserves,token0Reserves);</p>
<p> 动态 | EOS REX 锁仓的资金量超 MakerDAO 登顶 DeFi 排行榜第一近一周:据 IMEOS 报道,根据 DAppTotal 数据显示,EOS REX 自5月1日上线以来,不到一个月的时间,已经锁仓了高达7500万的 EOS(5.19亿美元),占比 DeFi 项目的45.79%,占比近一半。 </p>
<p> 据悉,5月22日,EOS REX 的锁仓量就已经超过以太坊上最大的去中心化金融借贷产品 MakerDAO ,登顶 DeFi 排行榜第一,至今已有近一周的时间。目前,EOS REX 锁仓占 EOS 流通量的8.2%,而 MakerDAO 锁仓超过200万ETH,占 ETH 流通量的2%。[2019/5/27]</p>
<p> 现场丨加密矩阵合伙人范一凡:以太坊冲击2</p>
<p> else{//uniswapcanthandleallofexcessuint256buyTokens=getAmountOut(tokens_to_max_slippage,token1Reserves,token0Reserves);uniVars</p>
<p> <b>}}}</b></p>
<p> 通过对代码分析,buyReserveAndTransfer首先会计算在Uniswap中用于兑换yCRV的YAM的数量,如果该数量少于YAM的铸币数量,则会将多余的增发的YAM币给reserves合约,这一步是通过Uniswap合约调用?</p>
<p> rebase?合约的uniswapV2Call函数实现的,具体的代码如下:</p>
<p> functionuniswapV2Call(</p>
<p> addresssender,</p>
<p> uint256amount0,</p>
<p> uint256amount1,</p>
<p> bytesmemorydata</p>
<p> )</p>
<p> <b>public</b></p>
<p> {</p>
<p> //enforcethatitiscomingfromuniswap</p>
<p> <b>require(msg</b></p>
<p> }else{//minttouniswapyam</p>
<p> DeFi 概念板块今日平均跌幅为0</p>
<p> //transferreservetokentoreservesif(isToken0){SafeERC20</p>
<p> else{SafeERC20</p>
<p> }</p>
<p> 分析到这里,一个完整的?</p>
<p> rebase?流程就完成了,你可能看得很懵,我们用简单的流程图简化下:</p>
<p> <img alt=)