Certik：一旦落入云端，yam金融智能合约漏洞事件分析

刚种的红薯，一定要挖出来吗？

今天，另一个魔法事件发生在DEFI的领域。声势浩大的红薯工程一启动，流动矿工就开始蜂拥而至。短短8个小时，YAM金融锁仓总价值突破2亿美元。Comp矿业带动了DeFi产业的发展，而yam则直接带动了DeFi龙头项目的集体崛起，堪称“飞天”

然而，在36小时内，它就倒塌了。因为一个小小的漏洞，数亿美元消失了。他以为自己损失了1亿元，没想到还留着5元钱。

小红薯，你吃了什么？

背景

8月12日，yam Finance正式宣布他们发现了一个智能合约漏洞，并称该漏洞将产生比最初设定的更多的yam代币。在这种情况下，大量的保留代币将导致治理操作所需的代币数量过多。这意味着社区将来将没有足够的代币来执行任何治理操作。

智能合约的漏洞在哪里？

该漏洞出现在yam项目智能合约中YAM溶胶复位功能如下图所示：

资料来源：https://github.com/yam-finance/

上图中的返利功能需要进行返利，以保持价格的稳定。但是，有一行代码（用蓝色标记）在计算总供给时给出了错误的结果，这将导致系统保留过多的代币。

这一行代码的正确代码/计算公式格式应类似于以下代码/公式：

总供给=初始化供应.mul（YamscalingFactor）.div（基础）；

这个漏洞能在截止日期前通过治理行动修复吗？

第二次调整是在美国东部时间8月13日凌晨4时。

Yam finance公开宣布，他们将需要约16万份YAM委托请求，以便在美国东部时间凌晨3点之前提交治理方案。如果在投票窗口委托超过40万根YAM，该方案将允许用户将YAM转入或存入储备池。

好消息是，yam得到了社区的大力支持，提案已经成功提交。但是，新提交的方案无法在智能合约中运行，因此yam仍然处于无法管理的状态。

YAM现状

Yam finance现在已经失去了其治理能力，其75%的营运资本已从Yam/ycrv资金池中撤出。不过，剩余的流动性将从准备金中扣除。

根据官方消息，GATE.IO捐款将捐给yam Gitcoon，捐款将用于审计yam合同。审计完成后，yam合同将迁移到yam2.0。

如何避免呢？

Certik安全团队强烈建议：

在所有区块链项目正式发布前，不仅需要使用严格的软件测试工具来验证项目的代码安全性，还需要邀请多个第三方区块链安全团队做好区块链项目中代码的验证和审核工作，并在每次代码更新后进行重新审核。为了设计一个更好的项目管理系统，以备急需的项目更新需求。