此前备受关注的YAM1.0因一行代码漏洞导致项目服务搁浅,还造成治理合约中的75万枚yCRV代币被永久锁定,同时YAM的二级市场价格在几分钟内跌落99%以上。
根据PeckShield安全团队的分析,YAM曝出的增发漏洞主要原因是弹性供应机制(rebase)存在一个代码公式错误。这个错误会导致第二次rebase触发时系统会自动增发10^18个新代币。如果行情一直保持高位,那么每次rebase触发时都会进行指数级的增发,这将使YAM的数量变成一个庞大的数字。这意味着无论后期社区如何委托投票,都无法获得足够的投票量来控制系统,整个系统将陷入失控状态。
造成此次漏洞及拯救行动失败的原因在于YAMFinance项目方在上线前未进行充分的单元测试和第三方安全审计,以及在发现漏洞后未能及时有效地完成项目治理的拯救行动。
因此,在DeFi项目正式上线前需要进行严密的上线测试和安全审计工作。
以上内容详细信息可参考PeckShield安全团队撰写的分析报告《回天乏术,一开始就注定失败的YAM投票拯救行动!》。
在PeckShield定位到关键问题后不久,YAMFinance团队联系了他们,就YAM2.0智能合约的安全审计进行了合作。YAM2.0将对YAM1.0合约进行系统迁移工作,同时持有YAM代币的用户可以进行1:1映射,为下一代挖矿产品的上线做好准备工作。
PeckShield选择和YAM合作的原因是,一方面YAM不应因一次安全问题就倒下。通过专业的安全审计,相信能为YAM2.0的重新崛起提供有力的技术支持。另一方面,PeckShield服务了许多DeFi平台,对DeFi跨平台组合业务逻辑有独到的认识和了解,与一个实验性的创新性协议合作,将为DeFi社区注入新的动力。
负责本次YAM2.0审计工作的PeckShield安全审计人员认为,审计工作主要集中于YAMv2迁移合约的安全性和可靠性。审计的重点是旧版YAMv1账号的余额查询和销毁逻辑、新版YAMv2账号的铸币以及整体迁移逻辑的安全和完整性评估。
经过几天的严密安全审计,他们发现YAMv2迁移合约的设计清晰、逻辑缜密、代码简练有效。他们期待YAMv2以及后续的表现。
作为业内领先的区块链安全公司,PeckShield的安全业务已覆盖全球范围,主要客户包括公链提供商、头部钱包和矿池、头部交易所以及DeFi应用和智能合约等多个领域。
