LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 行情分析 > DeFi项目Harvest惨遭黑客攻击2400万美金被盗

DeFi项目Harvest惨遭黑客攻击2400万美金被盗

2020-10-27 善水论币 来源:区块链网络

昨天整个币圈最轰动的事情,大概就是Harvest.Finance遭到黑客攻击这件事了。

在昨天中午的时候,网上突然爆出消息说defi项目Harvest.Finance开心农场疑似遭到黑客攻击。

消息一出,便引起了整个币圈的轰动。毕竟这是地方项目至今第1次出现大规模被黑客攻击的情况。

在介绍这次黑客攻击事件之前,首先我先来向大家介绍一下这个暴雷的Harvest项目究竟是一个什么项目。Harvest和目前市面上的很多Defi项目类似,是一个机枪池,只要大家把代币存进去,Harvest就会拿着大家的资金去投资赚钱。

可是目前市面上的Defi项目那么多,凭什么投资者要选择Harvest呢?为了吸引大家的注意,Harvest在帮大家赚钱的同时,还会给大家发放自己开发的代币Farm。这样一来,投资Harvest的用户不但能够获得平台的投资收益,而且还可以拿到代币Farm。质押一次,两种收益,这对谁来说都是一个不小的诱惑。

正是因为这个不小的诱惑,让Harvest的锁仓资金在十月中旬突破了10亿美金。

了解完Harvest之后,我们再来看看昨天黑客是如何攻击赚钱的。

最开始的时候,这位黑客通过 Tornado.cash 转入 20ETH 作为攻击的手续费。

准备就绪后,黑客通过 UniswapV2 闪电贷,从系统当中借出巨额的 USDC 与 USDT。

在这,我来解释一下什么叫做闪电贷。闪电贷是 DeFi 生态的一个新名词。我们知道通过DeFi借钱,需要超额质押。所谓的超额质押就是,如果我想借50块钱,那么我必须在DeFi平台上质押大于50块钱的资产,才能借出50块钱。这种模式导致DeFi资金的利用率十分低下。

于是就有人设计出来了“闪电贷”。闪电贷允许借款人无需抵押资产即可实现借贷,从而极大提高资金利用率。

那么闪电贷是如何实现无抵押借贷的呢?

如果一个人要进行闪电贷,那么他必须满足一个限制条件。这就是他必须在一次交易中完成贷款-操作-还款的完整操作。

如果还款操作最终没有被完成,即贷款者没有还钱,那么之前的整个交易就会被回滚。回滚之后,就相当于这笔借款从没发生过。

黑客通过闪电贷借出巨额的 USDC 与 USDT之后,就通过 Curve的exchange_underlying函数将USDT换成 USDC。

我们知道,像curve这样的稳定币池,它和Uni自动做市的原理是一样的。假设curve的稳定币池里有10000个USDC和10000个USDT,此时USDC和USDT的价格比值是1:1.如果突然有人用大量的USDC兑换USDT。那么就会导致池中的USDT因为供应量不足而升值,然后会出现USDC和USDT的价格比值变成1:2这种情况。

利用这个原理,随后黑客通过 Harvest 的 deposit 将巨额USDC充值进 Vault 中,充值的同时Harvest的Vault 将铸出 fUSDC。之后,黑客再通过Curve把USDC换成 USDT ,将失衡的价格恢复正常。

最后,黑客只需要把 fUSDC 归还给 Vault 就可以获得比充值时更多的 USDC。然后,黑客通过重复操作,实现持续获利。据说昨天黑客利用这种操作获得了2400万美金的利润。

正是因为这种情况的发生,让在Harvest上做市的投资者普遍损失了15%的本金。

受此消息的影响,Harvest Finance的代币FARM的价格也在短时间内跌去了65%。为了本金安全,投资者们更是从平台上撤出了约3.5亿美元的资本。

事情发生后,Harvest Finance在推特上公开表示将悬赏10万美金奖励给首位成功和黑客取得联系并帮助返还用户资金的人。

另外,Harvest Finance表示,他们已经掌握了黑客持有资金的BTC地址以及大量关于黑客个人身份的信息。

Harvest Finance甚至喊话黑客:“您已经证明了自己的观点,如果可以将资金退回,社区将不胜感激”。

由于事发突然,Harvest Finance也进入了紧急阶段。Harvest Finance表示,他们将在事发后接下来的16个小时内持续发布事后报告,并针对后面可能发生的危机制定应对策略。

—-

编译者/作者:善水论币

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...