撰文:阿得 10 月 26 日中午 12 时左右,DeFi 热门项目 Harvest Finance 被曝遭黑客攻击。据推特网友发现,疑似有黑客借用闪电贷,使用 20 ETH 从 Harvest Finance 中套现超 400 万美元。 消息扩散后,Harvest Finance 项目的 FARM 代币价格在短时间内下跌近 60%,同时 Harvest Finance 和 Curve 的锁仓量大幅减少。截至目前,Curve 锁仓量为 8.53 亿美元,较昨天减少 25.92%;Harvest Finance 锁仓量为 5.85 亿美元,较昨天减少 47.27%。 链闻对相关信息进行梳理,简析 Harvest Finance 本次安全事件的要点。 到底发生了什么? 攻击者通过 Tornado.cash 转入 20ETH 作为后续攻击手续费; 其他攻击流程与上诉分析过程类似 安全事件发生后,Harvest Finance 初步调查后更新推特表示: 此外,Harvest Finance 官方还表示: Harvest Finance 还通过与 RenProtocol 合作,并相关的 10 个 BTC 地址,希望币安、火币、OKEx 和 Coinbase 等交易平台对其进行冻结。其进一步称: 除了持有被盗资金的 BTC 地址,我们现在还掌握了大量关于攻击者的个人身份信息。他在加密社区颇为有名。 后续影响 由于本次安全事件涉及的金额较大,且影响较广,再次引发市场对 DeFi 项目安全性的担忧。Cobo 联合创始人神鱼在微博表示,理论上凡是 Harvest 上的稳定币和 BTC 挖 CRV 的单币都有这个风险,大家抓紧提现。 在市场恐慌蔓延的情况下,Debank 数据显示,DeFi 市场总锁仓价值(TVL)从 10 月 25 日的 149.98 亿美元下降至今日 138.90 亿美元。在锁仓量排名前十的项目中,已有 Harvest、Curve、YFI、Aave 四个项目下跌比例超过 10%。其中 Harvest 从 11.19 亿美元的锁仓量下跌至 5.85 亿美元。 锁仓量的大幅下降却带动了 Uniswap 等去中心化交易所的交易量。据 Uniswap 官网显示,Uniswap 的交易量今日突现猛增态势,从昨天的 1.48 亿美元增长到 21.1 亿美元,24 小时增长 1267.91%。 The Block 研究总监 Larry Cermak 对此发推称,这其中约 92%的交易量来自 USDT/ETH 交易对(48.3%)和 USDC/ETH 交易对(43.4%)。他们为 Uniswap 的 LP 产生了 576 万美元的费用。 据 DeFi 发烧友 jiecut 总结的数据显示,在本次安全事件中,黑客在链上的操作为部分平台带来了比较可观的收入。其中 Uniswap 的 LP 收入近 600 万美元;Curve LP 大约可获得 100 万美元;ETH Gas 费达 10 万美元;RenVM 的手续费为 2 万美元。 据官方消息,目前攻击者已通过 USDT 和 USDC 的形式退回开发者 247.9 万 美元,这笔资金将通过快照按比例分配给资金受损的存款人。Harvest Finance 持续发推希望黑客归还被盗资金,并悬赏 10 万美金奖励首位成功和攻击者取得联系并帮助返还用户资金的个人或团队。 安全端倪早已显现 在攻击发生前,DeFi 分析师 Chris Blec 揭露了 Harvest Finance 存在的巨大风险。其指出,Harvest Finance 拥有一个管理密钥,可让持有者随意铸造代币并窃取用户的资金。正如该项目的审计公司 PeckShield 和 Haechi 所指出的那样,其治理参数不是由具有明确定义规则的合约来设置的。该管理密钥可能由该项目背后的匿名开发者持有。持有人可铸造无限数量的代币,并消耗代币的 Uniswap 池中的资金。 同时,Chris Blec 还表示,项目方或许有在试图向用户隐藏其审计报道。因为他发现: Peckshield 和 Haechi Labs 审计报告链接的 URL 都是不正确的,以及“https://github.com…” 之前的所有内容都应被删除。 而在 Chris Blec 发现问题并试图联系 Harvest Finance 社区和开发者,以询问管理密钥的归属时,其还遭受到言语攻击,并被禁止加入 Harvest Finance 的 Discord 社区,在 Twitter 上被拉黑。 最新进展 —- 编译者/作者:链闻独家 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
一文梳理 Harvest Finance 闪电贷安全事件
2020-10-26 链闻独家 来源:链闻
LOADING...
相关阅读:
- 慢雾:Harvest.Finance 被黑事件简析2020-10-26
- 慢雾安全提醒:警惕Filecoin假充值攻击 - 律动BlockBeats2020-10-26
- Harvest Finance对涉嫌黑客提供10万美元的赏金2020-10-26
- Harvest遭受闪电贷攻击,黑客通过Curve盗走2300万美元2020-10-26
- Harvest Finance 资金池大量资金被转移,或被黑客攻击2020-10-26