Mercurity.Finance自上线以来,就受到市场的广泛关注。11月 9 日,CertiK安全研究团队在自发对Mercurity.Finance部分智能合约代码进行审计后,对Mercurity.Finance项目拥有者(Owner)的权限提出了疑问。
文中,CertiK就Mercurity.Finance的MEE合约和AwardContract 合约提出项目拥有者权限过大的疑问。CertiK指出,MEE合约中Owner铸币权限过大,可铸任意数目的代币,且有权设置外部调用者权限,同时外部调用者也可铸任意数目的币;AwardContract 合约中,Owner拥有添加奖励的权限,并有权设置外部调用者权限,外部调用者同样可添加奖励,且有权提取相应奖励。
对此,Mercurity.Finance技术团队表示:“非常感谢CertiK在我们的合约还未完成部署的情况下,就给予了我们高度的关注,目前新合约正在部署。届时,也欢迎CertiK及其他安全审计团队对我们其他合约进行审计,我们将虚心接受来自各界的监督,如有BUG定在第一时间修复,最大限度保障用户的资金安全。”
根据Mercurity.Finance公布的路线图,Mercurity Swap Protocol的挖矿计划,分为质押挖矿、流动性挖矿和交易挖矿三个阶段。目前项目处于质押挖矿阶段,基于原始的领奖合约设计,MEE在迁移100%完成之后,用户需自主领取对应奖励。在项目规划初期,考虑到MEE在外部池的价格有不可预计的波动性,质押挖矿获得的MEE代币可能由于不同用户对信息获取的时间不同,而表现出非常大的价格波动。事实证明,这一预期是准确的,现项目方依据实际情况做了如下升级:
【领奖合约】
●发布新领奖合约,增加社区激励部分,每个区块释放0.15MEE,最大领取量为745000MEE;
链上记录:
https://etherscan.io/address/0x5a867f6B759cA090E47CBfdBB3eA76E427262862#code
●取消原始领奖合约的MEE铸币权限;
链上记录:
https://etherscan.io/tx/0x2f359e0f0a7ce6cc47428b122e90a12194c18546bfdd4f6591a6fd79e5fd2e6c
●取消MEE Owner的铸币权限。
链上记录:
https://etherscan.io/tx/0x4aa134cdedec96267273c5c60a0075b9c1e12a789441df36603f6ed413ac8374
【质押挖矿奖励】
●质押挖矿结束后,开启迁移;待迁移完成后,新领奖合约将自动统一发放奖励。保证所有用户同一时间开始计算抽税;
●所有奖励计算结果将会公示到GitHub中,可以随时与链上数据进行验证;
●完成质押挖矿奖励发放后,将会取消Owner的Governor权限,并移交TimeLock。
【社群激励奖励】
●完成质押挖矿奖励发放后,将MEE合约权限移交Timelock。
感谢CertiK对Mercurity.Finance项目的关注,也欢迎CertiK对Mercurity.Finance其他合约进行审计,与Mercurity.Finance共同为行业和用户的资金安全保驾护航。
Mercurity.Finance现有合约地址如下:
LPStaking:0xbEAC580727aE61F08FD1eF75115A0C73f301e93b
Migrator:0x7EFfA3b72D64B1B0fb202bd79e87dFA7E90720DE
Timelock:0x6DFC642EFADC62CF6B86E5dD53e7A146Ec6f10e4
MFactory:0xf2eD5A6B412227C5E71Fc6900F2cC774A18563c9
MAction:0xE7FaADEbF9C7b723Fb48Fb29e31E87581145D913
Award(新版):0x5a867f6B759cA090E47CBfdBB3eA76E427262862
MEE:0xe1b583dc66e0A24Fd9Af2dC665f6F5e48978E106
另外,为感谢CertiK对Mercurity.Finance发展的关注,后期将在Mercurity社区发起投票,从社区激励中拿出部分MEE,奖励CertiK安全团队。