DeFi的火热催生了很多项目，但轰动了整个加密社区的明星项目Yam，却在启动了仅仅37个小时就黯然落幕了。

一行代码毁了一个项目

8月12日凌晨三点，DeFi 项目Yam正式开启流动性挖矿（即通过为DeFi提供流动性赚取收益）。

Yam全称Yam Finance，是一个由社区孵化的DeFi协议。根据官方介绍，YAM引用了Ampleforth（AMPL）的弹性供应机制和YFI的代币发行理念，并且采用了时下DeFi项目最流行的去中心化治理（DAO），其YAM就是社区治理代币。

YAM本质上是一种有弹性供应的加密货币，Yam每天根据价格会进行rebase，对代币供应量进行调整。同时，YAM非常去中心化，没有预售和预挖行为，创始人团队也没有股份，所有人都可参与。YAM总量为500万枚，YAM官方初始定价为1美元。

Yam将挖矿的用户称为“农民”，YAM代币图标为“山药”，大家将此项目称为“挖山药”，项目一启动就搅动了整个加密社区。

尽管该项目在项目启动前就警告称，尚未对其合约进行任何审计，但“农民”们还是在不到一小时内就向该项目存入了7600万美元，项目启动8小时后，Yam总锁仓价值就突破了2亿美元。

随后，BKEX Global、币赢CoinW等交易所先后上线了YAM/USDT交易对。15个小时后，BitMEX创始人Arthur Hayes声称自己参与了Yam流动性挖矿，据悉还有很多人参与到了该项目中。此时，Yam锁仓价值已超过3亿美元。8月13日零时，Yam锁仓价值达到4.6亿美元，YAM代币价格涨至167美元的历史高点。

YAM价格走势，来源：CoinMarketCap

但到了8月13日5时，Yam发布推文称在Rebase合约中发现bug，这将导致产生比预期更多的YAM。

Yam官方给出了两个修复建议，并号召YAM持有人通过代理投票方式帮助修复提案通过。消息一出，YAM代币价格跌超90%，至14美元。

不过，用了8个小时左右的时间，Yam投票数就达到了18万枚YAM，超过了16万枚的最低门槛。Yam项目方表示，参与投票的用户将会获得一定的奖励。

下午15点时，Yam锁仓价值超过7.3亿美元。Yam官方建议用户在16时rebase前退出Uniswap YAM/yCRV池，原因是存在可能会阻止提案执行的潜在缺陷。如果治理不能通过该提案，那么在rebase期间累积的yCRV将面临无法移动的风险。

但Yam项目还是没有抢救过来。一个小时后，Yam核心开发者belmore在推特上表示，“对不起大家。我失败了。谢谢你们今天的大力支持。我太难过了。”Yam官方表示，该项目中存储的约75万美元的Curve代币也全部丢失。

事后，YAM在发布的博客中指出了发生错误的代码：

totalSupply = initSupply.mul（yamsScalingFactor）;

而这一行代码本来应该是：

totalSupply = initSupply.mul（yamsScalingFactor）.div（BASE）;

区块链安全公司Quantstamp首席执行官Richard Ma表示，加上“ div（BASE）实质上是将totalSupply除以一个非常大的数字——10^18。没有这个除数，这个网络将会产生“津巴布韦式”通货膨胀。

比特币开发者James Prestwich表示，这个rebase漏洞导致向治理库铸造了数十亿个YAM。这些YAM确实存在但无法进行投票。鉴于YAM的治理模块，这意味着没有任何投票提案可以被通过，因为提案永远无法达到需要的投票数量。

根据Ma的说法，这个漏洞目前没有办法修复。价值大约75万美元的加密货币将被永久锁定。

不审计成为一种营销手段？

这是一个从开始到启动仅用了10天的项目。

项目发布之前，Yam就在官方博客中明确表示项目代码是没有经过审计的：“虽然Yam协议的初始创建者已经尽力确保合约的安全，包括从现有审计良好的项目中派生出大量代码基，并征求了朋友的意见，但Yam协议目前还没有进行任何接近正式的严格审计。“

但这并没有影响投资者们的热情，因为不经审计便启动项目在业内已经不是新鲜事了。

Ma在接受媒体采访时表示，许多DeFi项目未经审计就启动了，像Yearn Finance、Cream和Yearn Finance II都是以这样的方式推出的。

“目前不进行审计被认为是利用逆向心理进行营销的一种好方法，”Ma补充说：“这会使人感觉到这些项目非常抢手，而你在别人还没听说之前就已经抢先一步了。”

Ma表示：“最大的危险在早期。”如果一个项目在早期的成长过程中幸存下来，就会开始积累许多非正式的安全审查。比如Yearn Finance项目，Quantstamp后来进行了一次正式的安全审计，只是Yam没有那么幸运能够走到那个阶段。

其实，Yam启动后，也有开发人员对其进行了审核，但可惜并没有发现该漏洞。

8月12日，Aave开发人员 Emilio Frangella在推特上发布自己对Yam的审核，他认为该协议“很大程度上基于原始的Synthetix奖励合同”，配置设置的更改很少，对安全性没有任何影响。

项目不死，计划推出 YAM 2.0

宣布项目失败后，Yam官方表示，只要以太坊继续支持这份合约，Yam将继续生存下去。

Yam 不能再通过治理进行修改，因此在技术层面上将以类似于其他rebasing资产(如AMPL)的方式运行。而YAM / yCRV Uniswap V2池将永远保持不安全的状态。尽管YAM在第二次rebase前已从池中取出了75%的流动性，但任何剩余的流动性都应尽快移除。

同时，Yam还表示，YAM社区应该有机会坚持下去。Yam将设立Gitcoin捐赠，以协调由社区资助的对Yam合约的审计。如果资金目标达到，在审计完成后，Yam将启动迁移计划，让社区控制项目，并推出Yam 2.0。

如果获得社区支持， Yam将在未来几周内通过两个阶段的启动程序推动Yam协议迁移到审计合约版本。

第一阶段，Yam部署地址将建立一个迁移合约，Yam持有者将在一定的期限内销毁此前代币同时铸造新的Yamv2代币。在第二阶段，完整的Yam系统预计将通过审核，并重新部署为Yamv3。Yamv2持有者将通过附加的合约迁移到更新后Yamv3代币地址。

Yam Finance表示，在任何时候都没有也不打算对协议进行管理和控制。在成功迁移之后，计划奖励一些代币持有者，但这需要获得投票批准。目前，Yam代币持有人无需采取任何行动。

针对此事件，区块链安全公司慢雾团队建议，项目中去中心化治理应循序渐进，在项目开始阶段，需要设置适当的权限以防发生黑天鹅事件。由于 DeFi 合约的高度复杂性，任何 DeFi 项目都需在经过专业的安全团队充分审计后再进行上线，降低合约发生意外的风险。

8月13日，Yam核心开发者belmore在推特上称，用户现在看到的任何Yam分叉几乎可以肯定都是骗局，不要参与。如果想要获取收益，请转向定期进行审核且信誉良好的DeFi产品。

受YAM事件影响，协议中可用于投资的其他代币，如WETH、LINK、YFI、AAVE、SNX、MKR和COMP的价格也受到了影响。

不过，Ma认为Yam的崩溃不会破坏DeFi，因为DeFi用户可以很好地应对波动。

创作场景

10 天上线、37 小时后倒闭，一行代码毁掉一个 DeFi 明星项目