YAM2.0智能合约已通过PeckShield安全审计服务

08月19日， 区块链安全公司 PeckShield（派盾）正式完成了对 YAM2.0 智能合约的安全审计服务。

此前备受关注的 YAM1.0 曾因一行代码漏洞，致使项目服务搁浅，并造成治理合约中的75万枚 yCRV 代币被永久锁定，而其项目代币 YAM 二级市场价格也在数分钟内跌落99%以上。

在 YAM 曝出 rebase 增发漏洞之后，PeckShield 安全团队跟进分析，漏洞主要原因为：

弹性供应机制（rebase）存在一个代码公式的错误，致使第二次 rebase 触发时系统会自动增发10 ^ 18个新代币，如果行情一直保持高位的话，那么以后的每次 rebase 触发时都会进行指数级的增发，这将使小红薯 YAM 的数量变成一个可怕的天文级数字。这意味着，无论后期社区怎样委托投票，都无法获得足够的投票量对系统进行控制，整个系统将陷入失控无主状态。

而造成此次漏洞及拯救行动失败的原因，PeckShield 安全团队认为：

1）YAM Finance 项目方在上线前没做好 unit test 及必要的第三方安全审计；

2）YAM Finance 项目方在发现漏洞后，没能及时有效在黄金急救期内完成项目治理的拯救行动。

因此，DeFi 项目在正式上线前一定要经过严密的上线测试和安全审计工作。

以上内容，详情可参看，PeckShield 安全团队撰写的分析报告《回天乏术，一开始就注定失败的YAM投票拯救行动！》。

在 PeckShield 定位到关键问题后的不久时间内，YAM Finance 团队便主动联系到我们，就 YAM2.0 智能合约的安全审计和我们达成了合作。YAM 2.0 将对 YAM 1.0 合约进行系统迁移工作，同时持币用户可以进行1:1的映射，为下一代挖矿产品的上线做好准备工作。

本次安全审计工作主要集中于 YAMv2 迁移合约的安全性和可靠性。主要审计内容如下：旧版 YAMv1 账号的余额查询和销毁逻辑、新版 YAMv2 账号的铸币，以及整体迁移逻辑的安全和完整评估。

经过数天的严密安全审计，我们发现 YAMv2 迁移合约的整体设计清晰，逻辑缜密，代码简练有效。我们期待 YAMv2 以及后续的表现！