2. 进攻者通过 UniswapV2 闪电贷借出巨额 USDC 与 USDT
慢雾科技是一家专注生态安详的公司,创立于 2018 年 01 月,总部位于厦门,由一支拥有十多年一线网络安详攻防实战的团队建设,,团队成员曾打造了拥有世界级影响力的安详工程。慢雾科技已经是国际化的区块链安详头部公司,主要通过“威胁发明到威胁防止一体化因地制宜的安详办理方案”处事了全球很多头部或知名的项目,包罗:生意业务所(如:火币、OKEx、币安等)、加密钱币钱包(如:imToken、RenrenBit、MYKEY 等)、智能合约(如:TrueUSD、HUSD、OKUSD 等)、DeFi 项目(如:JUST、BlackHoleSwap、DeFiBox 等)、底层公链(如:EOS、OKChain、PlaTON 等),已有贸易客户近千家,客户漫衍在十几个主要国度与地域。
总结:此次进攻主要是 Harvest Finance 的 fToken(fUSDC、fUSDT…) 在铸币时回收的是 Curve y池中的报价(纵然用 Curve 作为喂价来历),导致进攻者可以通过巨额兑换操控外部的价值来节制 Harvest Finance 中 fToken 的铸币数量,从而使进攻者有利可图。
amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());
其他进攻流程与上述阐明进程雷同
6. 最后只需要把 fUSDC 偿还给 Vault 即可得到比充值时更多的 USDC。
参考生意业务哈希:
计较方法中的 underlyingBalanceWithInvestment 一部门取的是 Curve 中的 investedUnderlyingBalance 值,由于 Curve 中 investedUnderlyingBalance 的变革将导致 Vault 铸出更多的 fUSDC
2020 年 10 月 26 号,据慢雾区动静 Harvest Finance 项目蒙受闪电贷进攻,损失高出 400 万美元。以下为慢雾安详团队对此事件的扼要阐明。
1. 进攻者通过 Tornado.cash 转入 20ETH 作为后续进攻手续费
关于慢雾
7. 随后进攻者开始反复此进程一连赢利
5. 之后再通过 Curve 把 USDC 换成 USDT 将失衡的价值拉回正常
慢雾科技的安详办理方案包罗:安详审计、威胁情报(BTI)、裂痕赏金、防止陈设、安详参谋等处事并配套有加密钱币反洗钱(AML)、假冒值裂痕扫描、裂痕监测(Vulpush)、被黑档案库(SlowMist Hacked)、智能合约防火墙(FireWall.X)、SafeStaking 等 SAAS 型安详产物。基于成熟有效的安详处事及安详产物,慢雾科技联动国际顶级的安详公司,如 Akamai、Cloudflare、BitDefender、天际友盟、IPIP 等及国表里加密钱币知名项目方、司法判断、公安单元等,从威胁发明到威胁防止上提供了一体化因地制宜的安详办理方案。慢雾科技在行业内曾独立发明并发布数多起通用高风险的区块链安详裂痕,获得业界的遍及存眷与承认。给区块链生态带来安详感是慢雾科技尽力的偏向。
慢雾科技努力参加了区块链安详行标、国标及国际尺度的推进事情,是海内首批进入工信部《2018年中国区块链财富白皮书》的单元,是粤港澳大湾区“区块链与网络安详技能连系尝试室”的三家成员单元之一,创立不到两年就得到「国度高新技能企业」认定。
4. 随后进攻者通过 Harvest 的 deposit 将巨额 USDC 充值进 Vault 中,充值的同时 Harvest 的 Vault 将铸出 fUSDC,而铸出的数量计较方法如下:
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
