3分钟前| 亚兹·谢赫(Yaz Sheikh)
攻击者从DeFi协议Harvest中抽走了2500万美元
好吧,它又发生了!
这个周末,一名黑客设法对DeFi协议Harvest进行了快速贷款攻击,并设法从其中一个池中吸取了2500万美元。 如果回想起2月,您可能还记得bZx协议发生过类似的攻击,我们发布了一篇文章“如何在几分钟内免费赚取30万美元+ 60万美元合法”-嗯,这非常相似我将为您介绍实际发生的情况。
在2500万美元的攻击发生后,每个人都将矛头指向了Harvest Finance($ FARM)背后的匿名开发人员。 但是,在更深入地了解发生的事情之后,他们不应该责备-尽管他们确实对整个过程负责。
让我从头开始。
Harvest Finance是一种DeFi农业协议,可自动为您寻找最佳农业产量。 您可能听说过Yearn Finance,它会自动搜索最佳贷款利率以从您的加密货币存款中赚取利息。 好吧,Harvest Finance相对相似,但是,Harvest Finance不会寻求最高的贷款利率,而是会寻求最高的农业产量并将您的资金部署到那里。
匿名团队将其描述为自主对冲基金。
该协议直到9月初才启动,但很快吸引了超过10亿美元的总锁定价值(TVL)。 自那以后,这笔钱已降至4亿美元:
让我详细介绍攻击者所做的事情,您可以在此处确定谁出了错。 我将尝试使其尽可能简单,以确保我不会对所有技术细节感到厌烦。 我还将舍入这些数字以使其更容易理解。
首先,必须注意,Harvest Finance根据其幕后的智能合约执行投资策略。 要输入,您需要将令牌存放到协议中以获取fToken(USDC到fUSDC等)。 然后将这些fToken存入金库,以计算要发行给存户的股票数量。
存放在金库中的资产存放在基础DeFi协议的共享池中,例如Curve.fi上的Y池-发生攻击的位置。
发生了什么
攻击发生在UTC时间10月26日凌晨3点左右。 简而言之,攻击者获得了一笔快速借贷,并以此对USDC和USDT保险库进行套利攻击,以使它们能够以优惠的价格进入协议。 退出后,优惠价格恢复正常,攻击者获利。
攻击者获得了一笔小额贷款,以获取大量资金。然后,他们通过Y池内的掉期交易将大约1,720万美元的USDT转换为USDC。 这导致Y池中USDC代币的价值更高,而其他资产则出现了永久损失。 然后,攻击者将约5000万美元的USDC存入了Harvest Finance USDC的保管库,并获得了约5150万美元的fUSDC(fToken)。 他们以优惠的价格获得了代币,因为在允许金库的股价下跌1%之前进行了掉期交易。重要的是要注意,Harvest Finance拥有自己的套利检查,以保护系统并还原任何恶意交易。 该值设置为3%,因此,由于攻击者仅将值移动了1%,因此并未触发该值。然后,攻击者在Y池中将1,720万美元的USDC兑换回USDT。 这扭转了无常损失的影响,并使USDC的价值降低到正常水平。攻击者继续从Harvest Finance USDC保险库中提取其资产。 由于Y池中USDC的价值下降,因此可以提取约5,060万USDC。 大约60万美元的利润。 他们多次重复此攻击向量,甚至将其逆转,并以此方式加以利用-即将USDC换成USDT,反而影响了USDT价格。所有这些都在7分钟之内发生,攻击者成功逃走了价值约2500万美元的加密资产。攻击者随后将其收入转换为renBTC,并试图隐藏其通过Tornado Cash的退出路径。
攻击者收到的USDC和USDT完全由Harvest保险库的付款方支付,完全不与Y池交互。 因此,USDT和USDC的Harvest Finance储户遭受了打击,并损失了资金。
善后
攻击发生在不到7分钟的时间内,因此Harvest Finance团队无能为力。 他们从Y池中撤出了所有用户资金,以防止进一步的黑客攻击尝试。
但是,非常有趣的是,攻击者实际上将大约250万美元退还给了Harvest部署器-因此受害者得到了一些回报。
攻击者似乎在玩游戏,因为他们实际上可能耗尽了锁定在Harvest Vault中的全部4亿美元。 取而代之的是,攻击者决定停止提供2500万美元,然后又退还250万美元? 这里似乎还不算什么。
Harvest Finance推出了一个“事后模式”,并表示他们对此次攻击承担全部责任:
-我们对此工程错误负责,并确保将来减轻此类事件-为受影响的用户制定补救计划是当务之急-我们谦虚地要求将资金退还给部署者,以便可以将其退还给用户
—丰收金融(@harvest_finance)2020年10月26日
同时,Uniswap流动性提供者从攻击者通过协议发送的费用中获得了很多收益。
Uniswap的交易量异常大,从昨天的1.48亿美元猛增到今天的20亿美元。 为什么? $ FARM漏洞利用者正在通过Uniswap赚钱。 Uniswap LP的好日子。 pic.twitter.com/g4HQ3sHFU7
-拉里·塞尔马克(@lawmaster)2020年10月26日
Uniswap LP总共获得了600万美元的费用。 Curve Fi LP赚了100万美元。 以太坊矿工的GAS费用为100,000美元,RenVM的费用为20,000美元。
最后,实际上看来,Harvest Finance可能有某种想法发起了攻击:
结论
第二次快速贷款套利攻击使DeFi成为现实。 您有损失资金的风险,如果您想参加,必须承担此风险。 它只是表明这是一个“实验”领域,并且涉及一些风险。
但这是黑客尝试吗?
重要的是要注意,Harvest Finance已由镇上最好的审计师PeckShield,Haechi Labs和CertiK进行了审计,并为它开了绿灯。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。