HAI:CertiK:一朝跌落云端,Yam Finance智能合约漏洞事件分析 ?_YAM

红薯刚种下,就得挖出来了?今日DeFi领域再次发生一起魔幻事件,呼声极高的红薯项目一经上线,流动性矿工们就开始疯狂涌入。短短8个小时内,YamFinance中锁仓总价值就超过2亿美元。COMP挖矿带动了DeFi产业出圈,而YAM直接带动了DeFi头部项目集体上涨,堪称“一飞冲天”。然而短短36小时内,眼见它高楼起,高楼塌。数亿美元因为一个小小的漏洞,消失于无形。本以为反应迟钝的自己损失了一个亿,没想到保住了自己的五块钱。

Linea负责人:以太坊EIP-4844有望将Rollup成本削减逾90%:9月9日消息,Consensys的zkEVM Linea负责人Nicolas Liochon在韩国区块链周期间接受采访时表示,proto-danksharding(也被称为以太坊改进提案EIP-4844)有可能将Rollup成本削减逾90%。

Liochon解释说,Linea上交易成本仅相当于以太坊L1上成本的1/15,但Rollup成本仍较高。EIP-4844引入可以发送并附加到以太坊区块的数据块,其中存储的数据无法被以太坊虚拟机(EVM)访问,并设置为在指定的时间段后删除。这一创新有望大幅降低交易成本,解决数据可用性的核心问题,这一问题占到Rollup成本的95%。Liochon强调,Linea的Prover负责链下计算、验证、捆绑以及生成组合交易的加密证明,这些仅占总成本的20%。

此外,Linea希望成为适用于以太坊生态系统中各种DApp和解决方案的多功能zkRollup,以满足DeFi、游戏和社交应用的需求。[2023/9/9 13:28:48]

Chainlink在Optimism上推出智能合约监控服务Chainlink Automation:5月15日消息,Chainlink在Optimism上推出智能合约监控服务Chainlink Automation,开发者可以通过利用去中心化节点网络来监控智能合约。Chainlink Automation还能帮助开发人员使用Chainlink的交易管理器功能(包括Gas峰值管理、nonce管理等)。[2023/5/15 15:04:18]

好好的小红薯,究竟承受了什么?事件背景

华尔街顶级监管机构对国会:赋予我们更多权力来监管比特币:金色财经报道,美国最高金融监管机构希望国会赋予他们新的权力,直接监督比特币的交易。?FSOC 在周一发布的 100 多页报告中表示,国会还应赋予监管机构新的权力来权衡一系列主题,包括利益冲突、滥用交易行为、记录保存要求、客户资产隔离和网络安全。监管机构表示,立法还应赋予机构更多的执法和审查权力。?

报告称,美联储、财政部和其他主要金融监管机构的负责人表示,政府监管证券法未涵盖的加密资产的能力有限。尽管许多代币都属于美国证券交易委员会的规定,但有些代币,如比特币,并不直接受任何联邦机构的管辖。FSOC包括SEC主席和商品期货交易委员会负责人,该委员会正在争夺更大的加密监管行动。[2022/10/5 18:39:38]

8月12日,YAMFinance官方宣布他们发现了一个智能合约漏洞,并称该漏洞将生成超出最初设定数量的YAM代币。在这种情况下,大量的保留代币将造成治理操作所需的代币数量过大。这意味着社区将来将没有足够的代币来执行任何治理操作。智能合约漏洞出现在哪里?该漏洞发生在YAM项目智能合约YAM.sol的rebase功能上,如下图所示:

图片来源:https://github.com/yam-finance/上图中的rebase功能应该执行rebase,以保持稳定的价格。但是,有一行代码在计算totalSupply时,给出了错误的结果,这会导致系统保留的代币数量过多。这行代码的正确代码/计算方程形式应类似于以下代码/方程:totalSupply=initSupply.mul(yamsScalingFactor).div(BASE);那么是否可以在截止日期之前通过治理操作来修复此漏洞?第二次调整是在美国东部时间8月13日凌晨4点。YAMFinance公开宣布,在美东时间凌晨3点之前,他们需要约16万YAM委托要求才能提交治理提案。如果在投票窗口中得到的委托超过40万YAM,则该提案将允许用户将YAM自行转移或存入储备池。有一个好消息是,YAM获得了其社区的大力支持,并且该提案已成功提交。但是,新提交的提案无法在智能合约中运行,所以YAM目前依旧是一个不可管理的状态。YAM的现状

YAMFinance目前已经失去了治理能力,75%的流动资金已经从YAM/yCRV未拨出资金池中移出。但是,其余的流动资金将从储备库中删除。据官方消息,Gate.io将为YAMGitcoin捐赠,捐赠资金将被用于对YAM合约进行审计。审计完成后,YAM合约将迁移到YAM2.0。如何避免?

CertiK安全团队强烈建议:所有区块链项目在正式发布之前不仅需要使用严格的软件测试工具来验证项目的代码安全性,更是应该邀请多个第三方区块链安全团队,做好对区块链项目中代码的验证审计工作,并在每次更新代码后进行重新审计。从而设计一个更好的项目管理系统,以备进行项目紧急更新的需求。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:15ms0-3:871ms