自从DEFI协议流行以来,智能合约风险伴随着其发展过程。面对资金池内动辄千万、上亿美元的诱惑,早已成为黑客眼中的一块肥肉,他们都在虎视眈眈盯着下手的机会。 这次黑客盯上了DeFi项目Harvest Finance,在攻击之初,这个协议内锁定资金量为11.18亿美元 根据相关媒体的报道,疑似有黑客借用闪电贷,使用20 ETH从Harvest的稳定币与BTC资金池中盗取约2300万USDT,大部分通过renBTC提现并通过Tornado.cash成功套现超400万美元,很多参与者自称损失了15%以上的资金。 Harvest官方:“这次攻击和其他套利经济攻击一样,缘于一笔大额的闪电贷,攻击者多次操纵curve y池以提取fUSDT和fUSDC资金,随后将资金转换成renBTC,并退出为BTC。” 为了保护用户资金,Harvest已将y池和btc curve策略资金提出并转移至Curve金库。具体来说:为了保护用户,已将100%的稳定币和BTC curve策略资金从策略中撤出到金库。 根据媒体报道:黑客以USDT和USDC的形式归还了大约247.8万美元的资金,约占到被盗资金量的10%,而Harvest项目方则表示随后会将这些资金归还给受影响的用户。 “喝水不忘挖井人”黑客还有这回购动作,良心啊! Harvest Finance是什么? 这个项目在中国称之为开心农场,因为网站有一个拖拉机图标,大家又称为拖拉机,Harvest 英文为收割的意思。 在今年8月31日,Harvest Finance正式上线。这是借着SushiSwap经验突围出来相对成功的项目,主打稳定币交易。 Harvest Finance是一种跨链货币市场,能够自动种植收益最高的资产,并将这些资产分配给参与者。通过连接各自项目协议,自动种植最高收益的资产,并在农民之间分配利润,跟我们所说的机枪池是一个概念。每周都会调整种植的产品,以为农民们获得最大的收益。 FARM的总供应量为5,000,000 FARM,按官方资料会在5年内分配完成。 除了通过提供流动性可以获得FARM 外,通过锁仓社区代币,也是可以获得FARM的,协议会将利润分配给(5%~30%) FARM的持有者。 它的亮点在于稳定币的收益是全网最高的,初期高达291%~599%的收益,这也是吸引很多投资者关注的原因。虽然现在收益已经下降,但并没有失去这一优势。 根据其官网显示,Harvest Finance现在池子内仍有5.6亿美元的资金,FARM现报114.53美元。 黑客事件影响:代币价格暴跌,销仓量大幅下滑,投资者逃离 根据coingecko的数据显示,FARM代币在26日出现暴跌,最低跌至96美元,跌幅最高为70%。在晚上20:00出现了一定的上涨,现报115美元,24小时下跌50.6%。 根据debank的数据显示,Harvest的锁仓量也出现了46.9%的下滑,锁仓为5.89亿美元。 在25日Harvest的锁仓量为11.18亿美元,近几日基本保持在10亿美元以上。现排名也由此前的第6名下降至第8名,Curve 24 小时锁仓量下跌 25.79 %。 黑客事件已有警告:帐户由一个人匿名控制,中心化严重 Harvest Finance在其网站上提供了两份审计报告 也经过了派盾和另一个安全公司的审计,这两项审计都是在9月份完成的,分别由知名的安全公司Peckshield和Haechi Labs所提供。 这一切似乎是正常的,然而审计报告经过仔细推敲之后,其中包括了巨大的风险。 DeFi研究员Chris Blec上周六(24日)发文警告,当时总锁仓量突破10亿美元的明星项目Harvest Finance可能隐藏著中心化风险,因为协议控制权完全掌握在一位匿名私钥管理人手上,而项目方的消极回应,似乎在刻意隐瞒。 Chris Blec:我将分享自己发现Harvest Finance存在高危管理密钥风险的步骤,而这一事实危及到了用户的资金。 1、一个以太坊账户所控制Harvest项目上的资金 根据ChrisBlec文章:针对审计报告,他搜索提及管理密钥(admin key)或“治理”(governance)的内容,发现了其中的问题。 让我们看第42页的内容,如你所见,Peckshield使用了通俗易懂的英语,其向读者表明,Harvest项目的治理职责高度中心化且非常不稳定。
2、Peckshield报告:Peckshield给出了一个表,所有的资金都是由同一个地址所控制,这在报告上有清楚的说明。 3、Haechi Labs:掌握着11亿美元资金管理密钥是一个匿名开发者 Chris Blec又针Haechi Labs的审计报告进行研究,发现了其中的问题:智能合约中所持有的10亿美元资金,开发者可随时将它们转移走。 4、社区消极应对警告:ChrisBlec试图联系Harvest Finance,但团队ChrisBlec禁止加入他们的Discord社区,并在Twitter上将其屏蔽。 在debank也在相关Harvest的风险提示,看起了这个风险一般的专业人员都能够发现。 在debank网站对于Harvest介绍中,在最后也提醒大家,“经 DeBank 与 Harvest 社区确认,目前项目相关策略的管理权限由一个外部地址单独控制,需注意相关风险。” 如果社区重新视,这一切可能不会发生,在警告出现后的第二天,黑客就来了,只是来的有些快。 大佬们总能先知先觉,万卉成功的避开了大坑:一直这在上面的农民真的是心大啊,Harvest的Vault的策略经常变化,并且几乎没有社区治理,外加开发者一直都是匿名。几个危险条件完全满足 (没有碰CREAM,Harvest还有后期的黄瓜,请叫我躲坑小能手) 跟万卉一样也有人躲过一劫,主要是看到了ChrisBlec的提醒 Harvest Finance事件黑客如何实现套利 根据官方的说法,像其他套利经济攻击一样,此次攻击起源于一笔巨额闪电贷。攻击者通过多次操纵 Curve Y 池的价格,以耗尽 Harvest 的 fUSDT、fUSDC 池的资金。攻击者随后将资金转换为 renBTC 并套现。像其他闪电贷攻击操作一样,攻击者动作迅速,没有给平台反映的时间,连续 7 分钟端到端地进行攻击。 马昊伯:利用闪电借钱套利,Harvest 亏钱,黑客赚钱 aelf 的创始人马昊伯:黑客可能是利用闪电借贷借了一大笔钱,然后把 curve 的价格搞到十分离谱,然后再到 Harvest 按照不合适的价格进行单边充值(亏钱的情况下充值),然后利用 Curve 将钱赎回。这样一来 Harvest 亏了,黑客就赚到了,Curve 也因为这波操作价格产生波动。而 Curve 的所谓亏损其实和 Uniswap 的 LP 亏损一样,是一种无常损失,价格会很快恢复。 超级比特币:黑客逃逸路线,u换成eth,再换成wbtc,再通过curve换成renbtc逃跑 慢雾:Harvest.Finance 被黑事件简析 慢雾总结:此次攻击主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在铸币时采用的是 Curve y池中的报价(即使用 Curve 作为喂价来源),导致攻击者可以通过巨额兑换操控预言机的价格来控制 Harvest Finance 中 fToken 的铸币数量,从而使攻击者有利可图。 慢雾团队的这份总结报告,虽然简单,但把整个事件梳理的非常清楚,建议大家细品。 在微博上的大佬们总是会第一时间做出反应,如果没事,大家多刷刷微博 比特傻:大钱远离机枪池 harvest出事儿了,usdt和usdc被反复抽插套利。harvest作为机枪池,难逃其咎。上周五还有人问要不要放大钱在curve,比特傻答:大钱远离机枪池,没想到现在就出事儿了 神鱼:凡事挖crv的单币都有风险 黑客通过闪电贷瞬间操纵了CRV上稳定币的汇率,然后在harvest低价充值某稳定币、然后在CRV购回卖出稳定币,恢复正常汇率,harvest提现,赚取汇率差。理论上harvest上稳定币,btc凡事挖crv的单币都有这个风险,大家抓紧提现吧 区块链威廉:个位数的收益不值得冒险 随着流动性挖矿收益的降低,很多池子内收益年化已经不足10%,甚至一些稳定币的收益已出现了个位数。用10%的收益来做市挖矿,不仅面临着无常损失,还可能因为黑客事件,面临着本金丢失的风险,最终结果可能是得不偿失。 Harvest事件后续进展:评估保险方案以及赔偿策略,悬赏计划开始 目前 Harvest Finance 官方仍在对此事进行调查,并联合交易所来阻止事件恶化,但基本没有起到太大的作用。 Harvest 团队将在接下来的16小时内发布事后报告,并针对未来的可能发生的类似的经济攻击制定策略,包括评估保险方案以及赔偿策略。 10 万美金悬赏计划开始: Harvest 团队表示,除了套现的 BTC 地址外,社区中流传着大量关于攻击者的信息,将悬赏 10 万美元寻找攻击者。此次悬赏仅仅是出于对平台用户资金的考虑,希望攻击者能将资金打回开发者地址,团队尊敬攻击者的技巧和聪明才智,不会对攻击者有其他方面的干扰。我们现在还掌握了大量关于攻击者的个人身份信息。他在加密社区颇为有名。 如果这一说明属实,这倒像是大V作案,应该是个高手,追回资金可能会有一定难度。 根据分析,此次攻击中,大约有2300万美金的USDT从Curve流出。Harvest Finance表示还在调查中,安全机构也正在参与调查。由于各大平台的DeFi理财项目很多在Curve上运行,目前尚不确定有多少投资者遭受损失。 Harvest事件带给我们的一些思考 有以下几个观点跟大家分享: 1、智能合约没有100%安全,审计有也不是万能解药。 审计公司收钱办事,你懂的。 2、智能合约代码是公开的,非常容易被黑客利用,选择一个靠谱的平台很重要。 3、机枪池风险更大,谨慎参与,因为它涉及的协议更多。 4、为了10%收益 ,面临无常损失和黑客风险是一笔很不合算的买卖,不值得冒险。 5、流动性挖矿不能只年看收益,收益低点无所谓,安全才是最重要的。 Harvest事件无论怎样最终结果如何,做出全额赔偿、消除事件对未来项目发展的影响,才是Harvest 团队最先要做的。我们要做的就是“吃一堑长一智”,面对DEFI市场各种高利诱惑,不可因小失大,保持清醒的头脑,保住自己的本金。因为牛市就要到来,千万不要让自己倒在牛市的路上。 参考资料: https://harvest.finance/ https://www.8btc.com/article/661354 —- 编译者/作者:大白高国 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
Harvest事件深度剖析:有因有果,只是来的太快,黑客成功拿走400万美元,未来
2020-10-27 大白高国 来源:区块链网络
LOADING...
相关阅读:
- Redditor揭露Tech Space加密挖矿骗局2020-10-27
- 大海的DEFI故事,EOS-DEFI全面分析2020-10-27
- 【虾丸停矿】“丸子挖虾,虾挖丸子”直接将XO砸向地板,赚了3000E的又2020-10-27
- Uniswap日交易额暴涨10倍,突破20亿美金。2020-10-27
- 大奇迹日:YFI孵化与诞生丨创始人即将推出一款钱包2020-10-27