zombie
> > > >
> > > >

Harvest.finance 遭到駭客攻擊,到底發生了什麼?

2020/10/26 17:04
Harvest.finance 遭到駭客攻擊,到底發生了什麼?
原文標題:Harvest.finance 發生了什麼?

10 月 26 日,有用戶發現 DeFi 挖礦項目 Harvest.finance 疑似遭到黑客攻擊。黑客借用閃電貸,獲利近 2400 萬美元。隨後市場信息紛紛湧出,由於涉及金額巨大,很快引起了國內外加密社區的猜想。律動BlockBeats根據已知信息以及官方回复,將此事件進行一個簡單的梳理,幫助用戶了解和跟進最新情況。

黑客到底是如何操作的?

律動觀察到,黑客對於合約和匿名操作十分熟悉,在開始操作之前似乎還進行試驗。黑客使用的初始 ETH 是從以太坊隱私交易平台 Tornado.cash 轉出的。操作的 Hash 為:
0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。
Harvest Finance 官方稱,像其他套利經濟攻擊一樣,此次攻擊起源於一筆巨額閃電貸。攻擊者通過多次操縱 Curve Y 池的價格,以耗盡 Harvest 的 fUSDT、fUSDC 池的資金。攻擊者隨後將資金轉換為 renBTC 並套現。像其他閃電貸攻擊操作一樣,攻擊者動作迅速,沒有給平台反映的時間,連續 7 分鐘端到端地進行攻擊。攻擊者以 USDT 和 USDC 的形式向開發者退回 2478549.94 美元(律動注:向開發團隊打回資產的)。 Harvest 表示這筆資金將通過快照按比例分配給受影響的儲戶。

Harvest Finance 給出的信息似乎與加密交易員們的推測一致。 aelf 的創始人馬昊伯發表了自己的推測。首先需要了解的是,閃電借貸可以無抵押借到很多錢,不管是有多少滑點的 AMM,都是有滑點的。而且 Curve 的曲線雖然在兩個幣種之間的滑點比較低,但是到極端情況下還是會有不可控的事件發生。
馬昊伯猜測:黑客可能是利用閃電借貸借了一大筆錢,然後把curve 的價格搞到十分離譜,然後再到Harvest 按照不合適的價格進行單邊充值(虧錢的情況下充值),然後利用Curve 將錢贖回。這樣一來 Harvest 虧了,黑客就賺到了,Curve 也因為這波操作價格產生波動。而 Curve 的所謂虧損其實和 Uniswap 的 LP 虧損一樣,是一種無常損失,價格會很快恢復。

後續影響

Harvest.finance 的官方推特在 10 月 26 日 12 點 30 分左右表示:

「我們正在積極致力於減輕對穩定幣池和 BTC 池的攻擊問題。經濟攻擊是通過 Curve Y 池進行的,通過拉高 Curve Y 池流動性,導致收益率暴漲,隨後通過harvest 進行大量存取款操作。
為了保護用戶,我們已經把 100% 的穩定幣和 BTC Curve 策略基金放到了保險庫(Vault)中。同時為了保護用戶,Harvest Finance 正在阻止用戶向穩定幣和 BTC 保險庫中充值,現有存款將繼續賺取 FARM。 」


受此事件影響,不少用戶擔心資產安全,紛紛提現轉賬,加上黑客操作及套現行為,根據 Debank 數據顯示,去中心化交易平台(DEX)的單日成交量創歷史新高,超過 30 億美元。同時,律動發現,Harvest 和 Curve 的總鎖倉量(TVL)開始下降,Curve 24 小時鎖倉量下跌 26 %,Harvest 24 小時鎖倉量下跌 46%。

用戶應該怎麼辦?

由於黑客一直在通過 RenBTC 進行兌現。截止發稿時,Harvest Finance 官方已宣布通過與 RenProtocol 合作,獲取相關 RenBTC 提現地址。並公佈了通過 RenProtocol 導出的 BTC 地址,現在正在尋求幣安、火幣、OKEx 和 Coinbase 等交易平台的幫助,希望可以凍結相關地址。
那麼在事件並未完全清晰的情況下,用戶應該如何操作?對此,神魚在內的多個業內人士建議用戶先將資金提出,以確保資金安全。另外官方此前已建議用戶暫停向穩定幣池以及 BTC 保險池進行充值。

網友總結了黑客的這一系列操作,都對那些平台或個人產生了收入。目前來看黑客獲利 2400 萬美元左右;通過 Uniswap 進行套現,Uniswap LP 收入 600 萬美元;黑客向 Harvest 的開發者返還了 247 萬餘美元(律動注:團隊表示這筆資金將按比例分配給受影響的用戶);通過 Curve 的流動性池完成的這一波套利操作,因此 Curve LP 大約可獲得 100 萬美元收入;調用合約、轉賬等產生的 ETH Gas 手續費 10 萬美元;最後通過 RenBTC 兌現, RenVM 手續費 2 萬美元。

目前 Harvest Finance 官方仍在對此事進行調查。 Harvest 團隊表示,除了套現的 BTC 地址外,社區中流傳著大量關於攻擊者的信息,將懸賞 10 萬美元尋找攻擊者。此次懸賞僅僅是出於對平台用戶資金的考慮,希望攻擊者能將資金打回開發者地址,團隊尊敬攻擊者的技巧和聰明才智,不會對攻擊者有其他方面的干擾。
律動將保持關注,持續跟踪報導此事。
本文經授權轉載自律動 BlockBeats

join Zombit

加入桑幣的社群平台,跟我們一起討論加密貨幣新資訊!

區塊律動BlockBeats

專業的區塊鏈研究機構與資訊平台

桑幣熱門榜

關閉廣告 關閉廣告
zombie

桑幣正在徵文中,我們想要讓好的東西讓更多人看見!
只要是跟金融科技、區塊鏈及加密貨幣相關的文章,都非常歡迎向我們投稿
投稿信箱:[email protected]

為提供您更多優質的服務與內容,本網站使用 cookies 分析技術。若您繼續閱覽本網站內容,即表示您同意我們使用 cookies,關於更多相關隱私權政策資訊,請閱讀我們的隱私權及安全政策宣示