DeFi收益率农场背后的匿名开发人员可以在12小时内窃取$ 1B

Harvest Finance是一个分散式金融项目，成功吸引了超过10亿美元的锁定资金，其管理密钥使持有人能够随意铸造代币并窃取用户资金。

正如审计公司PeckShield和Haechi所指出的那样，治理参数不是由具有明确定义的规则的合同设置的。 可能由项目背后的匿名开发人员持有的管理员密钥可用于任意创建新的FARM令牌。

这种权力可以使治理关键持有人创建无限数量的代币并消耗代币的Uniswap池中的资金，该池目前持有USDC 1200万美元。

Harvest Finance是一个自动化的收益管理系统，具有类似于Yearn Finance的基于保管库的策略。 Haechi强调说，除了铸造机制外，治理密钥持有人还可以随意更改金库功能，这可以通过提交伪造策略（仅将资金发送到攻击者控制的地址）加以利用。

因此，从理论上讲，治理密钥的持有者除了Uniswap资金池中的资金外，还可以窃取该协议承诺的全部10.5亿美元资产。

资料来源：DeFi Pulse

作为对审核的回应，团队引入了12小时的锁定时间，如果发现任何不正当行为，应该给用户足够的高级警告-但这需要社区保持警惕。

该项目目前正在运行类似于许多“食物硬币”的经典农作物农场。 用户可以提交以太（ETH），包裹的比特币（BTC）和其他资产，但是通过自己提交FARM令牌可以找到最高的FARM收益，而不必要求Uniswap池令牌的附加抽象层。 这种循环依赖性是许多密码庞氏骗局的特征。

尽管该项目成功吸引了一个相对较大的社区，并且已通过拨款拨款参与了该社区，但该团队完全是匿名的。

尽管目前尚无任何恶意的意图，但该项目已高度集中化，潜在的农民应意识到，他们信任匿名的开发商小组，以抵制用钱奔走的诱惑，这与社区最初信任SushiSwap创始人的方式类似。

—-

原文链接：https://cointelegraph.com/news/anonymous-devs-behind-a-defi-yield-farm-could-steal-1b-in-12-hours

原文作者：Cointelegraph By Andrey Shevchenko

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。