DEFI热潮之下的风险：YAM暴涨之后，两天几近归零

经持续两个月的DeFi热潮愈加火爆。8月12日上线的Yam Finance，当天就红爆整个加密社区。启动用时不到8个小时，Yam Finance中锁仓总价值就超过2亿美元。而且是在Yam Finance合约未经正式审计的情况下。

DeFi投资者都知道，DeFi最大风险来自智能合约。何况是未经审计的合约代码，Yam Finance也不例外，上线刚1天就发现了Bug。

8月13日，Yam Finance发现弹性供应调整合约存在漏洞，导致弹性供应调整（rebase）时铸造大量额外代币——目前已产生大约50万美金的yCRV。不过，团队称用户的资金是安全的，同时也紧急呼吁Yam代币持有人通过委托Yam Finance投票通过紧急提案以修复漏洞。

发生了什么

据Yam Finance官方公告，现有的弹性供应调整合约代码是：

totalSupply = initSupply.mul(yamsScalingFactor)

而其本来应该是这样：
totalSupply = initSupply.mul(yamsScalingFactor).div（BASE）

因此在8月12日UTC时间上午7点（北京时间下午3点）进行的初始调整中，YAM财政部（treasury）增加了大约50万美元的yCRV资金（注：Yam机制要求10%的rebases用来买入yCRV存入YAM财政部，yCRM为以美元计价的一篮子稳定币）。

为什么这些多出来的yCRV会影响Yam治理？因为北京时间8月13日凌晨三点，YAM将开始第二轮分配。而第二轮将只通过YAM/yCRV Uniswap资金池激励，并据此做rebase计算。

不修复漏洞会发生什么？

按Yam的治理规则，提交YAM治理提案的门槛为总供给量的1%，治理提案通过的票数为总供给量的4%。Yam Finance官方表示，如果不能在第二次重新确定基准之前提交错误修复提案，将无法采取进一步的治理行动。因为Yam Finance储备中将保留许多YAM，以致任何提议都无法达到法定票数。

如果发生这种情况，YAM财政部（treasury）将无法管理，而且这些资金也将丢失。

怎么办？

下一次弹性供应调整将发生在8月13日UTC时间上午8点（北京时间下午4点）。只有在第二次变更基准之前启动新提案，才有机会成功修正合约，修复bug让YAM实验继续进行。因此社区需要在8月13日UTC时间上午7点（北京时间下午3点）通过yam.finance委托得到约160万的YAM投票（重新设定基准前的16万YAM ）。提案提交后，用户可以在三天投票窗口中的任何时候，将自己的YAM转移或存入staking池，直到被委托的投票数永远不会低于40万YAM（重新设定基准前的40000YAM） 。

截至发稿，Yam Finance得到7.95万枚YAM委托投票。

尽管可以自己进行表决，但Yam Finance建议，所有人通过yam.finance上的入口进行委托投票，以最大程度地减少复杂性。而修复完bug后，用户可以随时自己表决或委托给任何其他地址。Yam Finance还表示，将YAM放在钱包中三天会产生一定的机会成本。YAM社区治理极有可能让那些投票帮助拯救Yam Finance的用户按链上数据快照得到补偿。

解决方案

Yam Finance官方提议的解决方案分两个方面：
1、暂停重新设定基准功能以停止意外的铸币
2、将控制权转移到更灵活的治理合约
这将停止错误功能，为更完整的解决方案提供时间，并使该解决方案得以及时实施。
新的临时治理合约已部署到主网，位置在：

https://etherscan.io/address/0xd87c869f4672363eF2367bb817b086A25735626B

其功能已通过Compound提供的工具进行了测试，但未经审核。

新治理合约的参数修改如下：
硬编码的建议阈值（10000个未缩放的YAM）；硬编码仲裁达到最初YAM供应的1％（35000未缩放的YAM）；投票期减少至8小时（注：之前为48小时）。

一旦这个权宜之计到位，长期的解决方案将包括将供应时间表重新设定为最初预期的参数，并希望奖励那些放弃潜在回报以拯救YAM协议的YAM代币持有者。