YAM2.0智能合约已通过PeckShield安全审计服务

  • A+
所属分类:代码审计

YAM2.0智能合约已通过PeckShield安全审计服务


08月19日, 区块链安全公司 PeckShield(派盾)正式完成了对 YAM2.0 智能合约的安全审计服务。


此前备受关注的 YAM1.0 曾因一行代码漏洞,致使项目服务搁浅,并造成治理合约中的75万枚 yCRV 代币被永久锁定,而其项目代币 YAM 二级市场价格也在数分钟内跌落99%以上。


在 YAM 曝出 rebase 增发漏洞之后,PeckShield 安全团队跟进分析,漏洞主要原因为


弹性供应机制(rebase)存在一个代码公式的错误,致使第二次 rebase 触发时系统会自动增发10 ^ 18个新代币,如果行情一直保持高位的话,那么以后的每次 rebase 触发时都会进行指数级的增发,这将使小红薯 YAM 的数量变成一个可怕的天文级数字。这意味着,无论后期社区怎样委托投票,都无法获得足够的投票量对系统进行控制,整个系统将陷入失控无主状态。


而造成此次漏洞及拯救行动失败的原因,PeckShield 安全团队认为:


1)YAM Finance 项目方在上线前没做好 unit test 及必要的第三方安全审计;


2)YAM Finance 项目方在发现漏洞后,没能及时有效在黄金急救期内完成项目治理的拯救行动。


因此,DeFi 项目在正式上线前一定要经过严密的上线测试和安全审计工作。


以上内容,详情可参看,PeckShield 安全团队撰写的分析报告《回天乏术,一开始就注定失败的YAM投票拯救行动!》。


在 PeckShield 定位到关键问题后的不久时间内,YAM Finance 团队便主动联系到我们,就 YAM2.0 智能合约的安全审计和我们达成了合作。YAM 2.0 将对 YAM 1.0 合约进行系统迁移工作,同时持币用户可以进行1:1的映射,为下一代挖矿产品的上线做好准备工作。


YAM2.0智能合约已通过PeckShield安全审计服务


PeckShield 选择和 YAM 合作:一方面,作为一个全社区共同关注的明星级项目,不应因一次安全问题就折戟,在经过我们专业的安全审计之后,相信会给 YAM2.0 的卷土重来提供有力技术支撑;另一方面,PeckShield 服务了数十家 DeFi 平台,对 DeFi 跨平台可组合性的业务逻辑本身有独到的认识和了解,服务一个实验级的创新性协议,双方强强联合,会给 DeFi 社区注入新的驱动力量。


负责此次 YAM2.0 审计工作的 PeckShield 安全审计人员认为:

本次安全审计工作主要集中于 YAMv2 迁移合约的安全性和可靠性。主要审计内容如下:旧版 YAMv1 账号的余额查询和销毁逻辑、新版 YAMv2 账号的铸币,以及整体迁移逻辑的安全和完整评估。


经过数天的严密安全审计,我们发现 YAMv2 迁移合约的整体设计清晰,逻辑缜密,代码简练有效。我们期待 YAMv2 以及后续的表现!

PeckShield 作为业内领先的区块链安全公司,安全业务已覆盖全球范围,主要客户包括有:公链提供商 (EOS、Nervos、Harmony、AVA、HBTC、NEO 、IOST、Bytom、TRON、OKChain),头部钱包和矿池 (imToken、SparkPool、比特派、Cobo 金库,VoiceWallet),以及头部交易所(Huobi、KuCoin、Bithumb、Upbit、OKex)、DeFi 应用及智能合约(MakerDAO、StarkWare、bZx、Aave、Tokenlon、InstaDApp、Set Protocol、Zerion、Ren Project、Hydro Protocol、dForce、Newdex、HoneyLemon、BlackHoleSwap、DeFis Pool、DeFiDollar)等。


YAM 简介:


YAM 是一个实验性挖矿协议,整合了目前流行的流动性挖矿,社区治理以及弹性货币供给量调整等特性。 可以根据市场情况弹性地扩大和减少代币供给量的代币,初始价格为1美元每 YAM 。YAM 每隔12小时(8am UTC, 8pm UTC)调整一次货币供应量。


YAM 的初始发行将均匀地分配给其八个抵押池: COMP、 LEND、 LINK、 MKR、 SNX、 WETH、 YFI 以及 ETH/AMPL Uniswap v2 LP。YAM 作为治理代币,持有者可以将其用于链上投票,用来决定协议未来的发展与价值捕获。


PeckShield 简介:


PeckShield「派盾」成⽴于2018年,是业界领先的区块链安全公司,核心团队曾服务于360、Intel、Juniper、Alibaba 等全球知名厂商,团队成员多次原创发现底层核心安全漏洞获得各大厂商官方致谢。


PeckShield 作为早期专注于区块链生态的头部安全公司,基于安全团队二十年来在代码分析、操作系统、⼤数据等安全业务领域的积累,提出了一整套渗透测试、代码审计、应急响应、链上数据监测,AML 反洗钱等安全与数据综合解决方案,业务覆盖区块链生态安全的各个环节。PeckShield 团队因多个关键安全漏洞发现而广受业内关注,被 Etherscan.io 纳入智能合约安全审计推荐名单,同时跻身「以太坊赏金猎人」全球排名 Top 3。


PeckShield 旗下成立了 DAppTotal、DAppShield、CoinHolmes 等多个独立的数据与安全服务品牌,致力于提升区块链生态整体的安全性、隐私性以及可用性,并为生态用户提供切实有效的数据与安全解决方案和服务。


YAM2.0智能合约已通过PeckShield安全审计服务



发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: