Harvest.finance 发生了什么?
一文梳理Harvest.finance事件

10 月 26 日,有用户发现 DeFi 挖矿项目 Harvest.finance 疑似遭到黑客攻击。黑客借用闪电贷,获利近 2400 万美元。随后市场信息纷纷涌出,由于涉及金额巨大,很快引起了国内外加密社区的猜想。律动BlockBeats根据已知信息以及官方回复,将此事件进行一个简单的梳理,帮助用户了解和跟进最新情况。




黑客到底是如何操作的?


律动观察到,黑客对于合约和匿名操作十分熟悉,在开始操作之前似乎还进行试验。黑客使用的初始 ETH 是从以太坊隐私交易平台 Tornado.cash 转出的。操作的 Hash 为:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。


Harvest Finance 官方称,像其他套利经济攻击一样,此次攻击起源于一笔巨额闪电贷。攻击者通过多次操纵 Curve Y 池的价格,以耗尽 Harvest 的 fUSDT、fUSDC 池的资金。攻击者随后将资金转换为 renBTC 并套现。像其他闪电贷攻击操作一样,攻击者动作迅速,没有给平台反映的时间,连续 7 分钟端到端地进行攻击。攻击者以 USDT 和 USDC 的形式向开发者退回 2478549.94 美元(律动注:向开发团队打回资产的行为疑似模仿此前 YFI 创始人 AC 的项目 Eminence.finance 被盗事件)。Harvest 表示这笔资金将通过快照按比例分配给受影响的储户。




Harvest Finance 给出的信息似乎与加密交易员们的推测一致。aelf 的创始人马昊伯发表了自己的推测。首先需要了解的是,闪电借贷可以无抵押借到很多钱,不管是有多少滑点的 AMM,都是有滑点的。而且 Curve 的曲线虽然在两个币种之间的滑点比较低,但是到极端情况下还是会有不可控的事件发生。


马昊伯猜测:黑客可能是利用闪电借贷借了一大笔钱,然后把 curve 的价格搞到十分离谱,然后再到 Harvest 按照不合适的价格进行单边充值(亏钱的情况下充值),然后利用 Curve 将钱赎回。这样一来 Harvest 亏了,黑客就赚到了,Curve 也因为这波操作价格产生波动。而 Curve 的所谓亏损其实和 Uniswap 的 LP 亏损一样,是一种无常损失,价格会很快恢复。」




后续影响


Harvest.finance 的官方推特在 10 月 26 日 12 点 30 分左右表示:「我们正在积极致力于减轻对稳定币池和 BTC 池的攻击问题。经济攻击是通过 Curve Y 池进行的,通过拉高 Curve Y 池流动性,导致收益率暴涨,随后通过 harvest 进行大量存取款操作。


为了保护用户,我们已经把 100% 的稳定币和 BTC Curve 策略基金放到了保险库(Vault)中。同时为了保护用户,Harvest Finance 正在阻止用户向稳定币和 BTC 保险库中充值,现有存款将继续赚取 FARM。」




受此事件影响,不少用户担心资产安全,纷纷提现转账,加上黑客操作及套现行为,根据 Debank 数据显示,去中心化交易平台(DEX)的单日成交量创历史新高,超过 30 亿美元。同时,律动发现,Harvest 和 Curve 的总锁仓量(TVL)开始下降,Curve 24 小时锁仓量下跌 26 %,Harvest 24 小时锁仓量下跌 46%。




用户应该怎么办?


由于黑客一直在通过 RenBTC 进行兑现。截止发稿时,Harvest Finance 官方已宣布通过与 RenProtocol 合作,获取相关 RenBTC 提现地址。并公布了通过 RenProtocol 导出的 BTC 地址,现在正在寻求币安、火币、OKEx 和 Coinbase 等交易平台的帮助,希望可以冻结相关地址。


那么在事件并未完全清晰的情况下,用户应该如何操作?对此,神鱼在内的多个业内人士建议用户先将资金提出,以确保资金安全。另外官方此前已建议用户暂停向稳定币池以及 BTC 保险池进行充值。

 



网友总结了黑客的这一系列操作,都对那些平台或个人产生了收入。目前来看黑客获利 2400 万美元左右;通过 Uniswap 进行套现,Uniswap LP 收入 600 万美元;黑客向 Harvest 的开发者返还了 247 万余美元(律动注:团队表示这笔资金将按比例分配给受影响的用户);通过 Curve 的流动性池完成的这一波套利操作,因此 Curve LP 大约可获得 100 万美元收入;调用合约、转账等产生的 ETH Gas 手续费 10 万美元;最后通过 RenBTC 兑现,RenVM 手续费 2 万美元。




目前 Harvest Finance 官方仍在对此事进行调查。Harvest 团队表示,除了套现的 BTC 地址外,社区中流传着大量关于攻击者的信息,将悬赏 10 万美元寻找攻击者。此次悬赏仅仅是出于对平台用户资金的考虑,希望攻击者能将资金打回开发者地址,团队尊敬攻击者的技巧和聪明才智,不会对攻击者有其他方面的干扰。 


律动将保持关注,持续跟踪报道此事。


参考阅读:

闪电贷:一笔以太坊交易能做什么?


律动 BlockBeats 提醒,根据银保监会等五部门于 2018 年 8 月发布《关于防范以「虚拟货币」「区块链」名义进行非法集资的风险提示》的文件,请广大公众理性看待区块链,不要盲目相信天花乱坠的承诺,树立正确的货币观念和投资理念,切实提高风险意识;对发现的违法犯罪线索,可积极向有关部门举报反映。
项目动态
栏目
前沿动态,一手掌握
相关快讯
更多
5小时前
律动 BlockBeats 消息,10 月 24 日,空山基首件 NFT 已于 ZHEN. 交易市场独家抽签发售,抽签时间从即日起至 10 月 28 日晚 18:00。此次空山基与 ZHEN. 合作推出的首件 NFT 是以机械鲨鱼为主体的视频影像,分为两个版本,经典版和至臻版。至臻版在包含经典版的 20 秒影像外,还有另外两种不同的鲨鱼游动呈现方式。 除了实物+NFT 的发售形式有较低的参与门槛外,作为空山基首次发售的 NFT 作品,经典版 NFT 价格为 299 美金,同时购买该 NFT 可使用支付宝付款。
8小时前
律动 BlockBeats 消息,10 月 24 日,据 L2BEAT 数据显示,截止 10 月 23 日,Ethereum 二层扩容方案总锁仓量接近 40 亿美元(39.8 亿美元),一周增长 5.62%。其中,Arbtirum(24.2 亿美元)、dYdX(9 亿美元)、Optimism(2.81 亿美元)锁仓量位居前三,一周分别增长 6.54%、3.03%、3.88%。此外,近七日锁仓量增长最快的是基于 ZK Rollup 的隐私与扩容解决方案 Aztec,增长 31.51%。
9小时前
律动 BlockBeats 消息,10 月 24 日,官方消息,cryptocurrency P2P 交易平台 Chatex 近日获得 Polygon 旗下 DeFi 基金 DefiForAll 的投资,并将后者的技术引入到生态系统中,旨在为用户带来无缝、安全和即时的交易。同时,在该基金的支持下,Chatex 还集成了 Curve 和 AAVE 等项目。 据了解,Polygon 旗下的 DefiForAll 基金是一个价值 1.5 亿美元的 DeFi 基金,旨在扩大以太坊规模,将 DeFi、挖矿和贷款的好处带给更大的用户群。Chatex 是集成 Telegram 的基于聊天应用的 p2p 交易平台之一,集存储、发送、支付和交换的一站式 cryptocurrency 解决方案。token CHTX 是 Chatex 虚拟币银行重要组成部分,帮助整个系统获得更多竞争优势。
10小时前
律动 BlockBeats 消息,10 月 24 日,据 Cointelegraph 报道,与买卖 cryptocurrency 相当容易的美国或欧洲等地区相比,香港的实体 crypto 店面是一个独特的商标,为个人提供了另一种访问 crypto 的方式。香港数字资产交易平台 (HKD) 的首席执行官兼创始人 Kelvin Yeung 表示 HKD cryptocurrency 交易平台成立于 2019 年,实体店于今年 1 月成立,他们雇佣了 30 多名员工来提供客户服务。 Yeung 进一步表示,HKD 的商店的行为类似于传统银行,让客户有机会亲身体验购买 cryptocurrency,并获得面对面的咨询服务。他认为随着 cryptocurrency 成为主流,零售商店很可能成为全球趋势。虽然像 HKD 和 CoinerHK 这样的场外 cryptocurrency 交易平台在香港提供 cryptocurrency 服务,但这些类型的机构仍存在许多监管风险。