被 YAM 坑了。代码没过审，担心打币有风险，就没挖。但禁不住诱惑，于是，昨天手贱在 Gate.io 挂低价单买YAM，居然成交了。但是...没想到能跌 99%，几乎归零。最后，亏 600 个 USDT 割肉离场。

以后再也不在二级市场买卖这种代币了。找代码过审的项目，只撸不买，撸——提——卖，少赚不亏。

这个臭名昭著的项目—— Yam.Finance，在启动时并没有进行适当的代码审核。

许多流行的项目，如 Yearn Finance，Cream 和 Yearn Finance II （敲黑板，Yearn Finance II 也没有通过审计，没有通过审计！ ）以相同的方式启动。但是，他指出，这并不一定意味着 DeFi 用户需要对这些钟爱的项目产生偏执。

最近，随着YFI的推出，去中心化金融(DeFI)出现了一个趋势，即发布未经代码审计的项目供用户访问。但正如我们从Yam Finance的事件中看到的那样，在项目的智能合约中发现的bug会对未经审计的项目的用户和投资者造成经济上的损害。

虽然审计绝不意味着项目的完全安全，但正如Hegic的bug所表明的那样，智能合约审计师在生态系统中继续发挥着重要作用。通过让第三方审计师仔细检查代码并采取行动修复漏洞，项目向其用户发出信号，表明他们认真对待资金的安全性。

DeFi审计机构

根据我们的研究，至少有29家网络安全公司为加密货币项目提供审计服务，并延伸到DeFi项目。按审计的项目数量计算，领先的DeFi审计机构是链安和慢雾。

针对于本次事件，究其根本原因，还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。

根据成都链安在代码审计方面的经验，个别项目方在进行代码审计时，未提供完整的项目相关资料，使得代码审计无法发现一些业务漏洞，导致上线后损失惨重。

成都链安·安全实验室在此提醒各项目方：安全是发展的基石，做好代码审计是上线的前提条件。