YFV Finance 漏洞事件：愤怒的农民单枪匹马，用一行代码控制了1.7亿美元

8月13日YAM红薯烤焦，只用了36个小时就让一个6亿美元的大厦倾覆。这一事件让大家对于智能合约的风险又开始重新审视。

在YAM失败之后团队并没有放弃自己的理想，很快就出炉了重启计划。

在8月23日YAM完成了另起炉灶的第二阶段工作，资产由YAM v1 到 YAM v2 的完成了迁移。8月25日YAM又宣布了现已上线 v2 治理门户，以进行 v3 发布所需的社区决策过程。初步提案的投票已于 8 月 25 日 5:00 开始，如果在未来几周内YAM 启动团队的提案得到社区的通过，顺利的完成YAM V3阶段，这就意味着重启工作正式完成，我们又可以开心的挖红薯了。

这也许是YAM最好的结果，在这次事件中，参与交易二号池的人，本金大约有75%的损失，其它参与者也损失了不少的手续费。根据相关报道，YAM项目共造成投资人约76万美元的损失，但实际的损失远远大于这个数额。很显然，这个数据也没有包括从二级市场接盘的人，这些人才是损失最惨重的。

YAM事件尘埃落定，等待重启中，YFValue又犯了同样的错误。

YFValue协议是什么

简单来说，YFV就是一个YAM的仿盘，是当下众多农民耕做的项目之一，在今年8月16日开始启动。从这个时间点来看，确实有蹭YAM的嫌疑。

根据其资料显示：YFValue协议致力于通过通货膨胀率可链上投票、自动推荐（Referral ）等独特功能为包括小玩家在内的所有用户提供流动性挖矿收益，用户可直接质押稳定币和其他加密货币。

YFI的核心看点：旨在为所有用户提供收益农业融资的真实价值，而不论其投资规模如何。

YFV是该协议的治理代币，YFV.Finance是DeFi 收益聚合器。

YFV总供应量为2100万枚，分配在11个池子中，具体分发时间会根据YFV农耕者（Farmer）的投票进行更改。另外，YFValue还引入了两个基于弹性供应模型的新代币，分别为vUSD和vETH。vUSD和vETH将根据市场具体情况扩大或减少供应量，旨在将价格固定为1 vUSD 等于1美元，1vETH等于1 ETH。

YFV复制了YAM，并在8月16日开始启动，让人不能理解的是，YFV的智能合约也是未经安全审计，跟YAM如出一辙。

但这也没有阻止广大韭菜们的热情，在不到10在的时间内，YFV锁仓量已经最高达1.7亿美元。

在8月23日，BKEK交易所也上线了YFV。

另外，Hotbit也在8月24日上线了YFV。

YFValue简单复制YAM，漏洞再现

根据链闻消息：推特用户dryrunner称，FValue协议中大约有1.7亿美元的资金存在被合约所有者锁定的风险，用户需从中撤出资金。

8月24日推特用户 dryrunner 发布评论警告用户从 DeFi 项目 YFValue 中撤出资金，因为该协议中大约有 1.7 亿美元的资金存在被合约所有者锁定的风险。目前该项目除了可以挖 YFV 代币之外，矿工还在挖掘 yfv 引入的另外两个代币，分别是 vETH 代币和 vUSD 代币。而这两个代币都有一个只有所有者可对其进行修改的铸币者集，一旦所有者从铸币者集中删除该合约，所有有关提款、推出、质押和获得奖励的操作都有可能失效。这意味着，价值 1.70 亿美元的资金有可能被单个以太坊合约所有者账号 0x7be4d5a99c903c437ec77a20cb6d0688cbb73c7f 锁定的风险。

随后，这一警告也得到了官方的证实。

在8月25日，YFValue发文称遭到勒索。攻击者利用staking的合约漏洞，可以任意重置用户锁定的YFV。

YFV Finance团队表示：“我们已确认这个恶意行为者是一个心怀怨恨的farmer。尽管团队不断地通知和提醒，该其还是没有在UTC时间7点52分关闭前将其资金从Pool 0中取出。当听说团队决定把是否拯救其资金的决定留给社区时，该用户决定进行威胁和勒索。”

从声明中我们可以得知是 YFV 抵押池出现了问题，恶意的用户可重置 YFV 抵押者的计时器，对 YFV 的抵押者造成不便，但这并不会导致资金损失。

YFV Finance 团队将采取以下行动：

1、交易用户需停止在当前的质押池中质押 YFV，并在计时器允许的情况下尽快取出资金，为此，YFValue已删除掉前端 UI 上的质押选项；

2、当前的 YFV 质押池预计8月28日销毁，这将相当于15%的供应量，若社区想要一个新的质押池，团队将会尽快制定一个新的迁移计划；

3、目前被困在池中的资金。团队已制定了解救计划，但出于安全考虑目前不会披露

4、对于补偿受计时器重置攻击而无法从救援计划中受益的社区成员，团队将使用发展基金（约 30 万 YFV）进行补偿。

今天打开yfv.finance的网站，也用红字提醒，停止质押并尽快取出资金。

从官网提供的数据来看，在本文撰写之时，YFV的锁仓量有所下降，从最高1.7亿美元，降至今天1.12亿美元。

根据官网提示：YFV价格为13.69美元。

YFV有11个池子可以参与流动性挖矿，基本上COPY了YAM的模式。

由于漏洞的原因，YFV 的抵押池已经在 UI 界面关闭了抵押功能。

大部分池子收益都在1000%以上，其中BAL Balancer Pool收益高达1263.35%。

漏洞事件对YFV影响

从YFV的团队所做的应对方案来看，YFV已经控制了局面，并且也有相应的补偿方案和后续的措施。但FYV的价格仍受到影响，出现了下滑。

从coingecko数据来看，从24日发现漏洞，受此消息影响，币价一度下滑，现报价12.79美元，24小时下涨幅-16.9%。

在8月21日，YFV一度上涨至39.66美元，现已经跌去-67.7%。

YFV事件解析

根据 YFValue 的官方声明，项目代码是由富有经验的开发者进行开发的，同时借鉴了其他成功的项目的代码。这表明YFVR协议是可信的，风险很低。

官方的说法不敢苟同，说的直接一点，就是太想蹭YAM热点了。从8月13日YAM凉了之后，在不到三天的时间内匆匆上线了YFV。说明借鉴还不如说是抄袭，自然也没有时间仔细考虑安全问题。

根据YFV的说法，这次事件勒索者是一个在“pool 0”事件中未取回资金的“愤怒的农民”。一个农民就可以利用漏洞来控制1.7亿，可见，这个协议的漏洞是多么明显。

安全公司成都链安认为，本次事件的根本原因在于，YFV没有做好上线前的代码审计工作，实际上是属于业务层面上的漏洞。

根据成都链安分析称，合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押，此函数中的 lastStakeTimes[stakeFor] = block.timestamp; 语句会更新用户地址映射的laseStakeTimes[user]。而用户取出抵押所用的函数中又存在验证，要求用户取出时间必须大于lastStakeTimes[account]+72小时。恶意用户可以向正常用户抵押小额的资金，从而锁定正常用户的资金。

成都链安：“在此提醒各项目方：安全是发展的基石，做好代码审计是上线的前提条件。”估计提醒的意义也不大，项目方忙着赚钱、蹭热点、割韭菜，合约安全对他们来说并不是十分重要。

现在很多的新DeFi协议的存在巨大的风险，对于市场上流动性挖矿动辄几倍、百倍、千倍的币价来说，很多投资者投在这种失去暴富良机的FOMO影响下，纷纷加入了这个浪潮之中。由于高额利益的驱使，这种危险也被市场和投资者淡化。

YFV Finance是8月第二个没有经过审计的 DeFi 项目所暴露出的风险，前车之鉴就是YAM。YAM还没有实现重启成功，YFV又倒下了，那个解救“被困在池中的资金”的计划也存在不确实性。

不知道未来会有多少个xxx Finance出现，那倒下的就不止是两个了。如果这种情绪在DeFi 生态中蔓延，很可能让投资者对于智能合约信任度下降，这对于DeFi的蓬勃发展也会产生一定的影响。

参考资料：

链闻、星球日报等相关快讯报道

成都链安：《YFV勒索事件分析》

YFV官网：https://yfv.finance/

参考资料原文：https://medium.com/@yfv.finance/yfv-update-staking-pool-exploit-713cb353ff7d

https://twitter.com/dryruner/status/1297617321897287680

—-

编译者/作者：大白高国

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。