Primer lanzamiento | Una vez que cayó en la nube Análisis de eventos de vulnerabilidad de contratos inteligentes de Yam Financial

Las batatas acaban de plantarse, ¿así que hay que desenterrarlas?

Hoy volvió a ocurrir un evento mágico en el campo DeFi: tan pronto como se lanzó el muy popular proyecto Sweet Potato, los mineros de liquidez comenzaron a llegar frenéticamente. En solo 8 horas, el valor total bloqueado en Yam Finance superó los 200 millones de dólares estadounidenses. La minería COMP sacó a la industria DeFi del círculo, y YAM impulsó directamente el ascenso colectivo de los principales proyectos DeFi, lo que se puede llamar "volar hacia el cielo".

Sin embargo, en solo 36 horas, vio levantarse y colapsar edificios altos. Cientos de millones de dólares desaparecieron por una pequeña laguna. Pensé que perdí 100 millones porque no respondí, pero no esperaba conservar mis cinco dólares.

LBank Blue Shell lanzará CSPR (Casper) a las 20:00 el 3 de mayo y abrirá el comercio de USDT: según el anuncio oficial, LBank Blue Shell lanzará CSPR (Casper) a las 20:00 el 3 de mayo, abrirá el comercio de USDT y abrirá recargar al mismo tiempo Según los datos, la red Casper es la primera cadena de bloques de prueba de participación en tiempo real basada en la especificación CasperCBC. Casper está diseñado para acelerar la adopción de la tecnología blockchain por parte de empresas y desarrolladores en la actualidad, al tiempo que garantiza su alto rendimiento en el futuro a medida que evolucionan las necesidades de los participantes de la red. [2021/5/3 21:19:51]

Primer lanzamiento | El informe financiero de Baidu refleja que la plataforma blockchain BaaS se ha convertido en un nuevo enfoque estratégico: Jinse Finance informó que el 28 de febrero de 2020, Baidu (código bursátil BAIDU) anunció su informe financiero, que describía por separado el progreso relacionado con blockchain BaaS Se espera que la plataforma blockchain basada en Baidu Smart Cloud se convierta en un nuevo motor de crecimiento en la dirección de la innovación tecnológica. En términos de servicios de IA, Baidu ha llegado a una cooperación con el Banco de Desarrollo de Shanghai Pudong para construir conjuntamente una alianza de cadena de bloques y realizar la verificación de información entre bancos en la plataforma Baidu Blockchain Service (BaaS). [2020/2/28]

Un buen camote, ¿qué ha soportado exactamente?

Antecedentes del evento

El 12 de agosto, YAM Finance anunció oficialmente que habían descubierto una laguna en el contrato inteligente, diciendo que la laguna generaría más tokens YAM que la cantidad establecida inicialmente. En este caso, una gran cantidad de tokens reservados crearía una cantidad excesiva de tokens necesarios para las operaciones de gobierno. Esto significa que la comunidad no tendrá suficientes tokens para realizar operaciones de gobierno en el futuro.

Noticias | Lanzamiento de identidad digital educativa creíble en el distrito de Baiyun, Guangzhou Uso de blockchain y otras tecnologías: el 25 de diciembre, se llevó a cabo la ceremonia de lanzamiento y el seminario de aplicación de la aplicación piloto de la provincia de Guangdong de identidad digital educativa confiable (tarjeta educativa) en el distrito de Baiyun, Guangzhou.

Según los informes, la integración de la identidad digital educativa creíble adopta tecnologías centrales como el cifrado doméstico y la cadena de bloques, y emite de manera innovadora identidades digitales integradas en el entorno de red de "computación en la nube, computación de borde y computación móvil", realiza la gestión integrada de claves y crea "Cadena de Identidad Educativa de Confianza". (Red de noticias de China) [2019/12/25]

¿Dónde ocurren las vulnerabilidades de los contratos inteligentes?

La vulnerabilidad ocurrió en la función de rebase del contrato inteligente del proyecto YAM YAM.sol, como se muestra en la siguiente figura:

Fuente de la imagen: 

https://github.com/yam-finance/yam-protocol/blob/767e3a4a6918b6fb6100ad6bb356164408f5d82f/contracts/token/YAM.sol#L340

La función de rebase en la imagen de arriba debería realizar un rebase para mantener un precio estable. Sin embargo, hay una línea de código (marcada en azul) que da un resultado incorrecto al calcular totalSupply, lo que hace que el sistema reserve demasiados tokens.

La forma correcta de cálculo del código/ecuación para esta línea de código debe ser similar al siguiente código/ecuación:

totalSupply =initSupply.mul(yamsScalingFactor).div(BASE);

Entonces, ¿es posible corregir esta vulnerabilidad a través de acciones de gobierno antes de la fecha límite?

El segundo ajuste es a las 4:00 a. m. ET del 13 de agosto.

YAM Finance anunció públicamente que necesitan alrededor de 160 000 solicitudes de delegación de YAM antes de las 3:00 am EST para presentar propuestas de gobernanza. La propuesta permitiría a los usuarios transferir o depositar YAM ellos mismos en el grupo de reserva si se delegaran más de 400.000 YAM durante la ventana de votación.  

La buena noticia es que YAM ha recibido mucho apoyo de su comunidad y la propuesta se ha enviado con éxito. Sin embargo, las propuestas enviadas recientemente no se pueden ejecutar en contratos inteligentes, por lo que YAM aún se encuentra en un estado inmanejable.

Estado de YAM

Actualmente, YAM Finance ha perdido sus capacidades de gobierno y el 75 % de su liquidez se ha movido del grupo de fondos no asignados de YAM/yCRV. Sin embargo, el resto de la liquidez se retirará del grupo de reserva.

Según las noticias oficiales, Gate.io donará YAM Gitcoin y los fondos donados se utilizarán para auditar el contrato de YAM. Una vez completada la auditoría, el contrato de YAM se migrará a YAM2.0.

¿Cómo evitarlo?

El equipo de seguridad de CertiK recomienda enfáticamente:

Todos los proyectos de cadena de bloques no solo necesitan usar herramientas de prueba de software estrictas para verificar la seguridad del código del proyecto antes del lanzamiento oficial, sino que también deben invitar a varios equipos de seguridad de cadena de bloques de terceros para que hagan un buen trabajo verificando el código en la auditoría del proyecto de cadena de bloques. trabajar y volver a auditar después de cada actualización de código. Diseñando así un mejor sistema de gestión de proyectos para prepararse para la necesidad de actualizaciones urgentes de proyectos.

Tags：

DAI