YAM2.0智能合约已通过PeckShield安全审计服务

PeckShield
PeckShield 机构得得号

Aug 19, 2020 PeckShield是面向全球的业内顶尖区块链安全团队。

该文章已上链

摘要: 08月19日, 区块链安全公司 PeckShield(派盾)正式完成了对 YAM2.0 智能合约的安全审计服务。

YAM2.0智能合约已通过PeckShield安全审计服务
00:00
05:46

08月19日, 区块链安全公司 PeckShield(派盾)正式完成了对 YAM2.0 智能合约的安全审计服务。

此前备受关注的 YAM1.0 曾因一行代码漏洞,致使项目服务搁浅,并造成治理合约中的75万枚 yCRV 代币被永久锁定,而其项目代币 YAM 二级市场价格也在数分钟内跌落99%以上。

在 YAM 曝出 rebase 增发漏洞之后,PeckShield 安全团队跟进分析,漏洞主要原因为:

弹性供应机制(rebase)存在一个代码公式的错误,致使第二次 rebase 触发时系统会自动增发10 ^ 18个新代币,如果行情一直保持高位的话,那么以后的每次 rebase 触发时都会进行指数级的增发,这将使小红薯 YAM 的数量变成一个可怕的天文级数字。这意味着,无论后期社区怎样委托投票,都无法获得足够的投票量对系统进行控制,整个系统将陷入失控无主状态。

而造成此次漏洞及拯救行动失败的原因,PeckShield 安全团队认为:

1)YAM Finance 项目方在上线前没做好 unit test 及必要的第三方安全审计;

2)YAM Finance 项目方在发现漏洞后,没能及时有效在黄金急救期内完成项目治理的拯救行动。

因此,DeFi 项目在正式上线前一定要经过严密的上线测试和安全审计工作。

以上内容,详情可参看,PeckShield 安全团队撰写的分析报告《回天乏术,一开始就注定失败的YAM投票拯救行动!》。

在 PeckShield 定位到关键问题后的不久时间内,YAM Finance 团队便主动联系到我们,就 YAM2.0 智能合约的安全审计和我们达成了合作。YAM 2.0 将对 YAM 1.0 合约进行系统迁移工作,同时持币用户可以进行1:1的映射,为下一代挖矿产品的上线做好准备工作。

PeckShield 选择和 YAM 合作:一方面,作为一个全社区共同关注的明星级项目,不应因一次安全问题就折戟,在经过我们专业的安全审计之后,相信会给 YAM2.0 的卷土重来提供有力技术支撑;另一方面,PeckShield 服务了数十家 DeFi 平台,对 DeFi 跨平台可组合性的业务逻辑本身有独到的认识和了解,服务一个实验级的创新性协议,双方强强联合,会给 DeFi 社区注入新的驱动力量。

负责此次 YAM2.0 审计工作的 PeckShield 安全审计人员认为:

本次安全审计工作主要集中于 YAMv2 迁移合约的安全性和可靠性。主要审计内容如下:旧版 YAMv1 账号的余额查询和销毁逻辑、新版 YAMv2 账号的铸币,以及整体迁移逻辑的安全和完整评估。


经过数天的严密安全审计,我们发现 YAMv2 迁移合约的整体设计清晰,逻辑缜密,代码简练有效。我们期待 YAMv2 以及后续的表现!

PeckShield 作为业内领先的区块链安全公司,安全业务已覆盖全球范围,主要客户包括有:公链提供商 (EOS、Nervos、Harmony、AVA、HBTC、NEO 、IOST、Bytom、TRON、OKChain),头部钱包和矿池 (imToken、SparkPool、比特派、Cobo 金库,VoiceWallet),以及头部交易所(Huobi、KuCoin、Bithumb、Upbit、OKex)、DeFi 应用及智能合约(MakerDAO、StarkWare、bZx、Aave、Tokenlon、InstaDApp、Set Protocol、Zerion、Ren Project、Hydro Protocol、dForce、Newdex、HoneyLemon、BlackHoleSwap、DeFis Pool、DeFiDollar)等。

作者:PeckShield;来自链得得内容开放平台“得得号”,本文仅代表作者观点,不代表链得得官方立场凡“得得号”文章,原创性和内容的真实性由投稿人保证,如果稿件因抄袭、作假等行为导致的法律后果,由投稿人本人负责得得号平台发布文章,如有侵权、违规及其他不当言论内容,请广大读者监督,一经证实,平台会立即下线。如遇文章内容问题,请发送至邮箱:linggeqi@chaindd.com

链得得仅提供相关信息展示,不构成任何投资建议
本文系作者 PeckShield 授权链得得发表,并经链得得编辑,转载请注明出处、作者和本文链接

更多精彩内容,关注链得得微信号(ID:ChainDD),或者下载链得得App

分享到:

相关推荐

    评论(0

    Oh! no

    您是否确认要删除该条评论吗?

    分享到微信