攻击者从DeFi Harvest协议中窃取了2400万美元

关键事实：

攻击者花了7分钟执行仲裁攻击。

根据一些报道，黑客是社区中的知名人物。

黑客利用匿名团队开发的去中心化金融协议（DeFi）Harvest Finance中的安全漏洞。 黑客窃取了2400万美元的代币，然后出于未知原因将250万美元返还给该协议。

攻击者只需要7分钟即可执行套利攻击，然后他通过Uniswap，Curve Finance和Harvest协议执行了一系列步骤，才能达到耗尽资金的目标。 他首先在Uniswap上获得了5000万美元的快速贷款。 然后，他开始在USDC和Tether（USDT）之间进行交易，以使两个代币的价格急剧波动。 当他注意到Tether的价格开始在Harvest上下降时，他便以折扣价将其换成从flash贷款中获得的稳定币，这通过etherscan进行了升值。

简而言之，攻击者所做的就是操纵Curve和Harvest中的价格以获得更高的回报。 然后它将把资金转换为以太坊网络中使用的合成比特币renBTC以及通过使用以太坊龙卷风现金混合工具，他能够提取资金，如devops199fan帐户所示。

该漏洞利用是通过DeFi Uniswap，Curve Finance和Harvest Finance协议之间的一系列套利交换执行的，如图所示。 资料来源：朱利安·布特鲁普（Julien Bouteloup）/ Twitter.com

Harvest协议是一个不到两个月的绩效文化平台。 它向用户提供更高的回报，从不同的借贷协议中收集收益，并对其进行优化，以将最大的利润回报给那些存放稳定币和比特币的人。 根据DeFi Pulse的数据，上周末该公司的总价值超过10亿美元。

周一凌晨，分析服务提供商DeFi prime警告不正常的情况，当时该公司警告说Harvest Finance发生了奇怪的事情，需要密切监视。 一旦Harvest小组确认袭击已经发生用户开始提取资金。此后不久，他们从该协议中撤回了约3.5亿美元。

代币平台本地FARM暴跌60％以上根据CoinGecko的数据，在不到一个小时的时间内。

后来，Harvest Finance报告说，它决定冻结用户资金，同时冻结存款。 目前，尚未提供有关攻击是如何发生的或智能合约代码中的漏洞的结果的更多详细信息。 Harvest Finance声称其智能合约已由PeckShield和Haechi Labs分析和评估。

播出的DeFi漏洞

该攻击是在DeFi分析师Chris Blec警告说有充分的理由不信任该平台之后发出的。 Blec表示，Harvest Finance的管理员他们已经锁定了协议合同，这是一个“可以浪费资金的管理员密码”。 但是，到目前为止，尚不知道上述管理员密码与协议中的资金突然损失之间是否存在任何关系。

Harvest为攻击者提供了一些比特币地址，并说“有大量关于攻击者的个人身份信息”。 我确认这在加密货币社区中众所周知。此外，他还提供了100,000美元的奖励，用于第一个人或团队接近攻击者。

该协议背后的团队还报告说，它要求进行各种交流以阻止攻击者的地址。

该攻击凸显了通常会面临类似攻击的DeFi协议的脆弱性。 正如CriptoNoticias最近报道的那样，到2020年为止，另外五个DeFi平台遭受了攻击，有些反复出现，例如bZx，造成了至少3000万美元的损失。攻击显示黑客试图利用智能合约缺陷不同的协议。

—-

原文链接：https://www.criptonoticias.com/seguridad-bitcoin/otra-debilidad-explotada-atacante-sustrajo-usd-24millones-protocolo-defi-harvest/

原文作者：globalcryptopress

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。