链安慢雾代码审计一行代码是怎么毁了YAMDEFI项目的你的项目还敢不做代码审计

流动性挖矿是Uniswap带来的天才创新，在2017年也诞生过很多去中心化平台，像以德等等，为什么直到今天这概念才火起来，就是因为原先平台没有流动性，中心化的大平台，采用做市商的方式，通过第三方介入来提供挂单深度，但是去中心化平台只能等人自己挂单，你一登陆就会发现，盘面根本没有挂单，自己更不想挂了，久而久之就会越来越凉。

流动性挖矿彻底解决这个问题，如果有人告诉你，挂单可以给奖励呢？情况就大不一样了，Uniswap采用流动性池概念，只要你手里有钱和币锁在池子里面，就会给你币的奖励，也被叫做流动性挖矿。

YAM挖矿按照小时算，每小时能赚5倍，每天能赚10倍，看明白的人能不激动吗？所有人像疯了一样冲进去。

但是这背后有俩问题：项目方要直接跑路呢？大家赚的是谁的钱？项目方跑路和代码是挂钩的，这也和18年的交易挖矿，有着本质上的区别，只要代码在，稳定币体系就会正常流转，币就在。

很多人根本不怕项目方跑路，反而怕项目方“做事情”，一旦推出新版本，就会让老版本的币种贬值，只要代码安全性合格，保证去中心化的机制，项目方也拿这些币没办法。当然最怕的是代码不合格，最后币全让黑客端走了，比如YAM深夜爆出漏洞，目前还调整呢。

基于以太坊的一DeFi项目YFV发文称遭到勒索。攻击者利用staking的合约漏洞，可以任意重置用户锁定的YFV。并表示，此次事件可能和不久前的“pool0”事件相关，勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。成都链安分析称，合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押，此函数中的 lastStakeTimes[stakeFor] = block.timestamp; 语句会更新用户地址映射的laseStakeTimes[user]。而用户取出抵押所用的函数中又存在验证，要求用户取出时间必须大于lastStakeTimes[account]+72小时。

成都链安认为，本次事件的根本原因在于，没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。根据成都链安在代码审计方面的经验，个别项目方在进行代码审计时，未提供完整的项目相关资料，使得代码审计无法发现一些业务漏洞，导致上线后损失惨重。在此提醒各项目方：安全是发展的基石，做好代码审计是上线的前提条件。可想而知项目上线之前做好代码审计工作有多重要！

针对于本次事件，究其根本原因，还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。

根据成都链安在代码审计方面的经验，个别项目方在进行代码审计时，未提供完整的项目相关资料，使得代码审计无法发现一些业务漏洞，导致上线后损失惨重。

成都链安·安全实验室在此提醒各项目方：安全是发展的基石，做好代码审计是上线的前提条件。

—-

编译者/作者：sjyc18667195397

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。