YFI:安?實驗室發布「YFII流動性挖礦合約安全性研究」，所涉四項合約未包含致命安全漏洞_Mirror World Token

YFII是一個新型去中心化DeFi礦池，應社區小伙伴邀請，安比實驗室于2020年7月27日至8月2日對YFII智能合約進行了安全性研究。分析對象為下列合約：YFIIPool1:0xb81D3cB2708530ea990a287142b82D058725C092YFIIPool2:0xAFfcD3D45cEF58B1DfA773463824c6F6bB0Dc13aYFIIToken:0xa1d0E215a23d7030842FC67cE582a6aFa3CCaB83BPTToken:0x16cAC1403377978644e78769Daa49d8f6B6CF565初步分析結果表明，以上四個合約并未包含致命安全漏洞。安比實驗室希望通過本文對研究過程做一個記錄和總結，Token價格、經濟模型、其他外部合約模塊、以及未來新的合約不在本文討論內。YFII和YFI是什么

YearnFinance是一個DeFi收益聚合器，于7月17日推出治理TokenYFI后因其新穎的分發機制和治理方案迅速引爆了流動性挖礦市場。而YFII是對YFI項目的分叉，遵循YIP-8，實施了類似比特幣的減半機制。YFII相對YFI做了哪些改動

Circle 在 Arbitrum 上線跨鏈傳輸協議 CCTP:6月27日消息，Circle 宣布在 Arbitrum 上線跨鏈傳輸協議（CCTP）。CCTP 使 USDC 能夠跨鏈轉移，會在用戶跨鏈時銷毀源鏈上的代幣并在目標鏈上鑄造新的代幣，目前已上線以太坊、Avalanche 和 Arbitrum。此前，Circle 已于 6 月 8 日在 Arbitrum 上推出原生 USDC。

Celer Network、Interport Finance、LI.FI、Router Protocol、O3 Labs、Wanchain、Wormhole 等已支持 CCTP。另外，Multichain 表示，MultiCircle 將使用 CCTP 和 MPC 技術探索 RWA 代幣化。[2023/6/27 22:03:41]

目前，YFII合約代碼均直接Fork自YearnFinance，做了較小的改動以支持YFIIToken的定期減半分發。下表為YFII涉及的合約與YFI合約對應關系及地址。

加密期權交易所Deribit將于4月24日推出零費用現貨交易:4月20日消息，加密貨幣期權交易所Deribit宣布將于4月24日推出零費用現貨交易，在推出時，Deribit將提供三對現貨交易：BTC/USDC、ETH/USDC和ETH/BTC。

Deribit首席商務官Luuk Strijers表示，未來可能會上架更多代幣，但零費用不會長期持續，Deribit計劃通過推出現貨交易來吸引更多的零售用戶。此外，他還表示，Deribit還計劃在迪拜獲得加密許可證，并將其總部從巴拿馬遷至該市。

據悉，Deribit的現貨交易與其衍生品平臺一樣，將無法供美國和其他一些受限制國家/地區的用戶使用。[2023/4/20 14:15:12]

YFI/YFIIToken為項目治理Token合約，二者實現一致，具體為一個帶mint和簡單governance功能的標準ERC-20Token。BPTToken為BalancerPoolToken合約，是做市商的流動性證明Token，實際由自動做市協議Balancer的BFactory入口合約創建，因此二者實現完全一致。該合約代碼此前由TrailofBits和ConsensysDiligence進行過審計。Pool1和Pool2是用于分發治理Token的流動性挖礦合約，Pool1和Pool2的代碼實現一致，均被稱為YearnRewards合約，而YFII相對于YFI的改動即在這該合約中。YFIIPool1和Pool2合約相對于原始代碼新增了checkStart()和checkhalve()兩個修飾符函數，分別用于控制挖礦開始時間，和治理Token周期性地產量減半。YFII&YFI核心合約簡析

監測：0xb154開頭地址昨日從幣安轉出500萬枚ARB:3月29日消息，推特用戶The Data Nerd監測稱，0xb154開頭地址昨日從幣安轉出500萬枚ARB，目前該地址ARB持有量已超994萬枚，為ARB持有量第十四位的地址，并在所有非交易所以及非合約地址中排名第三位。[2023/3/30 13:33:54]

YFII和YFI流動性挖礦的核心合約代碼YearnRewards實際源自于Synthetix項目的Unipool，原本用于獎勵在Uniswap上為ETH/sETH交易對提供流動性的做市商SNXToken，該代碼之前經過SigmaPrime審計。基于YearnRewards的流動性挖礦整個流程可以分為以下幾步：具有RewardDistribution權限的地址，預先通過調用YearnRewards合約的notifyRewardAmount()函數，設置獎勵數額，而對應金額的YFIToken應由YFIminter轉入YearnRewards合約中。礦工向YearnRewards合約指定的目標DeFi合約提供流動性，拿到對應的流動性證明Token，該Token可以用于換回資產以及賺取利息或手續費收益。礦工將得到的PoolToken通過調用stake()函數存入YearnRewards合約中，合約自動根據Stake時長和礦工存入資金規模占資金池總規模的大小來計算礦工應得的獎勵。礦工可隨時提走自己的應有獎勵以及之前存入的PoolToken。通常一個YearnRewards合約專門用于單個特定DeFi項目的流動性挖礦，如Pool1對接Curve項目的y池，Pool2對接Balancer上的YFI-DAIPool。一些發現

黑山央行與瑞波公司合作開展數字貨幣試點項目:金色財經報道，黑山總理Dritan Abazovi?在Twitter上宣布，他的國家正在與瑞波公司合作推行一種數字貨幣，Abazovié 在達沃斯會見了Ripple 首席執行官 Brad Garlinghouse 和副總裁 James Wallis。(Cointelegraph)[2023/1/31 11:37:21]

前面提到YFII相對于YFI的改動，代碼改動整體較小。新增兩個修飾器函數用于約束stake()withdraw()getReward()三個主要功能函數。

notifyRewardAmount()函數中新增了一行代碼，用于在notify的同時直接控制YFIToken合約mint指定數量的Token到當前YearnRewards合約，將其作為獎勵用于分發。因此，Pool1和Pool2合約必須是YFIIToken合約的minter。這讓YFII與YFI在Token分發細節邏輯上稍有不同。YFI每期獎勵的分發都需要由特定地址負責設置金額并轉入Token。而YFII除了第一期開始前執行了notifyRewardAmount()操作，之后會隨著用戶的調用，產量自動定期減半。

加密礦企Bitfury孵化AI芯片公司Axelera完成2700萬美元A輪融資:10月26日消息，加密礦企Bitfury孵化的AI芯片公司Axelera宣布完成2700萬美元A輪融資，本輪融資由Innovation Industries領投，Imec.xpand、比利時聯邦控股和投資公司參投。此外，荷蘭企業局向Axelera授予了由經濟事務和氣候政策部委托的670萬美元貸款。

Axelera于2019年由Bitfury Group孵化，之前作為BitfuryAI運營，2021年開始獨立運營，主要開發基于內存計算的芯片，通過在RAM中執行計算以減少存儲設備產生的延遲，但該公司的產品進度并不快，預計要到2023年上半年才能向客戶發貨。（techcrunch）[2022/10/26 16:39:31]

另外，在與社區開發者Madao和gaojin討論代碼細節的過程中，Madao提到Token產量自動減半的執行需要依賴checkhalve()函數的執行，實際則依賴用戶與合約交互，執行時間無法精準控制到上一個周期的結尾，減半發生時間會與預期時間存在一定的時間差，并且合約減半實際發生時間很大概率晚于預期時間。特別地，合約計算獎勵時會將兩個周期間多出來的時間差計算在內，導致給每個用戶計算的獎勵值會略高于預期值，產生了一定誤差。進而我們發現，只要誤差存在，理論上最后一個從Pool中提取reward的人可能無法正常提現。這是因為合約在減半的同時MintYFIIToken至Pool合約。由于前面誤差的存在，導致合約中用戶賬面收益高于實際Mint出來的Token數量。誤差的大小計算方法為每個周期結束時間與下次減半發生實際發生時間之間的時間差Delta乘以減半后的rewardRate。根據上圖測算，平均延時60秒減半，累計誤差在1個YFII以內。只要能控制時間誤差足夠小，再加上持續有下一周期的Token作為補充，因此該誤差問題影響較小。YFII管理員權限處理

YFI類Token都存在鑄幣接口，具有mint權限的地址可以增發Token。YFI類Token還存在Governance管理員，具有權限添加和刪除Minter。通常理想情況下這些地址特殊權限地址應該為多簽合約或其他專門合約。另外YearnRewards合約有rewardDistribution權限地址，用于調用notifyRewardAmount()函數設置獎勵金額。YearnRewards合約還存在owner權限地址，用于設置rewardDistribution地址。目前，YFII項目的做法是將YFIIToken的Governance管理員、Pool1和Pool2的rewardDistribution均設為了0地址。管理員權限銷毀記錄可參見https://burn.yfii.finance/。經查驗，管理員權限銷毀屬實。目前只有Pool1和Pool2兩個合約地址具有YFIIToken的mint權限，屬于為了實現周期性減半的必要權限，且未來無法被濫用。特別值得一提地是，原版YFIToken代碼實現中，并未給addMinter()該特權函數添加Event，導致普通用戶無法方便地查看究竟合約有多少minter。當心，這讓各種類YFI項目非常容易藏入后門。經查驗，YFIIToken合約總共只有兩條addMinter()記錄，分別為Pool1和Pool2合約添加mint權限，未引入多余的minter。總結

YFI整體是一次非常有意義的DeFi創新實驗，通過YearnFinance我們看到去中心化的治理代幣分發，充分激發了DeFi社區的挖礦和治理熱情。YFII在YFI的基礎上實現了YIP-8提案，探索了一種可能更公平的治理代幣分發方案，并且短時間在社區內產生了較大影響，發展勢頭驚人。安全建議

隨著流動性挖礦和DeFi產品的火熱，市面上涌現出來各種新型DeFi智能合約，組合性風險劇增。安比實驗室提醒用戶與任何DeFi項目交互時一定要注意安全第一，認清域名、合約地址，仔細審查所有與資金相關的操作，盡量不要與來源不明的智能合約交互。另外，我們應更多關注DeFi產品本身和智能合約安全，分析價值基礎和風險來源，不盲信APR，只投入能夠承受損失的金額。特別提醒，記得用本文中提供的線索自行檢查參與的類YFI項目管理員權限。

Tags：YFITOKTOKEKENYfilabs FinanceStartup Boost Tokenimtoken蘋果下載3.0Mirror World Token

火必APP