HarvestFinance此次遭受闪电贷攻击主要是由于fToken在铸币时采用Curvey池中的报价,攻击者可以通过巨额兑换操控预言机价格来控制fToken的铸币数量,从而获利。
撰文:阿得
10月26日中午12时左右,DeFi热门项目HarvestFinance被曝遭黑客攻击。据推特网友发现,疑似有黑客借用闪电贷,使用20ETH从HarvestFinance中套现超400万美元。
消息扩散后,HarvestFinance项目的FARM代币价格在短时间内下跌近60%,同时HarvestFinance和Curve的锁仓量大幅减少。截至目前,Curve锁仓量为8.53亿美元,较昨天减少25.92%;HarvestFinance锁仓量为5.85亿美元,较昨天减少47.27%。
链闻对相关信息进行梳理,简析HarvestFinance本次安全事件的要点。
CMC数据:比特币市占率回升至50.1%:金色财经报道,6月25日,据CoinMarketCap(CMC)数据显示,比特币市占率回升至50.1%,以太坊市占率暂报19.9%;USDT、USDC稳定币市值占比分别为6.99%、2.39%。
此外,据CoinGecko数据显示,比特币市占率回升至48.44%,以太坊市占率暂报18.42%;USDT、USDC稳定币市值占比分别为6.81%、2.33%。[2023/6/25 21:59:00]
到底发生了什么?
据慢雾安全团队分析,HarvestFinance项目此次遭受闪电贷攻击主要是HarvestFinance的fToken(fUSDC、fUSDT...)在铸币时采用的是Curvey池中的报价(即使用Curve作为喂价来源),导致攻击者可以通过巨额兑换操控预言机的价格来控制HarvestFinance中fToken的铸币数量,从而使攻击者有利可图。
美国总统拜登:我已经提出减少支出的方案:金色财经报道,美国总统拜登:我已经提出减少支出的方案,为债务谈判做出了自己的贡献,共和党提出的许多方案是不可接受的,我不会同意为石油工业减税的提议。目前四位领导人都同意,违约不是我们的选择。[2023/5/21 15:17:05]
攻击者通过Tornado.cash转入20ETH作为后续攻击手续费;攻击者通过UniswapV2闪电贷借出巨额USDC与USDT;攻击者先通过Curve的exchange_underlying函数将USDT换成USDC,此时CurveyUSDC池中的investedUnderlyingBalance将相对应的变小;随后攻击者通过Harvest的deposit将巨额USDC充值进Vault中,充值的同时Harvest的Vault将铸出fUSDC,而铸出的数量计算方式如下:amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());计算方式中的underlyingBalanceWithInvestment一部分取的是Curve中的investedUnderlyingBalance值,由于Curve中investedUnderlyingBalance的变化将导致Vault铸出更多的fUSDC之后再通过Curve把USDC换成USDT将失衡的价格拉回正常;最后只需要把fUSDC归还给Vault即可获得比充值时更多的USDC。;随后攻击者开始重复此过程持续获利。
Dean Steinbeck等三人将辞去ApeCoin DAO特别委员会职务:11月20日消息,ApeCoin官方发推称,Dean Steinbeck、maaria.eth、Amy Wu将辞去ApeCoin DAO特别委员会的职务,并且不会在即将到来的选举中再次参选。
据悉,APE特别委员会成员在ApeCoin DAO成立的最初8个月里提供服务,涉及基础工作,有时也有挑战性的工作。他们在管理甚至发展ApeCoin DAO的基础提案方面做出重大贡献。[2022/11/20 22:10:13]
其他攻击流程与上诉分析过程类似参考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877
安全事件发生后,HarvestFinance初步调查后更新推特表示:
嘉信理财将推出其首个加密货币相关ETF:7月29日消息,嘉信理财公司(Charles Schwab)的资产管理部门Schwab Asset Management表示,它正在推出其首个与加密货币相关的交易所交易基金,即Schwab Crypto Theme ETF,该基金将于8月4日开始交易。(Market Watch)[2022/7/30 2:46:59]
就像其他套利经济攻击,本次攻击源于一笔巨额闪电贷。攻击者多次操纵一个资金池的价格,以耗尽另一个资金池里的资金,随后再将资金转换为renBTC并套现。
此外,HarvestFinance官方还表示:
此次攻击是通过Curvey池进行。为了保护用户,HarvestFinance已经将y池和BTCCurve策略资金存入Vault中。目前为止,所有稳定币和BTC资金都在Vault中。其他池不受影响。
BIS报告:MEV对新DeFi应用构成威胁,未来还可能加剧:6月17日消息,根据国际清算银行(BIS)一份关注加密挖矿行业常见不当行为的新报告,自2020年以来,以太坊区块链上的矿工已经从其他投资者那里“提取”了约6亿美元。该报告得出了三个关键结论:
1. 基于以太坊的DeFi协议和ETH“依赖于验证器或‘矿工’作为中介来验证交易和更新分类账。
2. MEV类似于传统市场中券商的抢先交易,但与这种做法不同,它本身并不违法。
3. MEV是伪匿名区块链的一个内在缺陷,因此没有简单的方法来摆脱它。根据BIS的说法,这对一系列新的DeFi应用构成了威胁,并可能在未来加剧,使其不可避免。
尽管如此,该报告也推荐了一种解决MEV的方法,即基于身份公开的可信中介网络的许可分布式账本技术,但这也意味着放弃区块链匿名的核心价值。(Cointelegraph)[2022/6/17 4:35:53]
HarvestFinance还通过与RenProtocol合作,并相关的10个BTC地址,希望币安、火币、OKEx和Coinbase等交易平台对其进行冻结。其进一步称:
除了持有被盗资金的BTC地址,我们现在还掌握了大量关于攻击者的个人身份信息。他在加密社区颇为有名。
后续影响
由于本次安全事件涉及的金额较大,且影响较广,再次引发市场对DeFi项目安全性的担忧。Cobo联合创始人神鱼在微博表示,理论上凡是Harvest上的稳定币和BTC挖CRV的单币都有这个风险,大家抓紧提现。
在市场恐慌蔓延的情况下,Debank数据显示,DeFi市场总锁仓价值从10月25日的149.98亿美元下降至今日138.90亿美元。在锁仓量排名前十的项目中,已有Harvest、Curve、YFI、Aave四个项目下跌比例超过10%。其中Harvest从11.19亿美元的锁仓量下跌至5.85亿美元。
锁仓量的大幅下降却带动了Uniswap等去中心化交易所的交易量。据Uniswap官网显示,Uniswap的交易量今日突现猛增态势,从昨天的1.48亿美元增长到21.1亿美元,24小时增长1267.91%。
TheBlock研究总监LarryCermak对此发推称,这其中约92%的交易量来自USDT/ETH交易对和USDC/ETH交易对。他们为Uniswap的LP产生了576万美元的费用。
据DeFi发烧友jiecut总结的数据显示,在本次安全事件中,黑客在链上的操作为部分平台带来了比较可观的收入。其中Uniswap的LP收入近600万美元;CurveLP大约可获得100万美元;ETHGas费达10万美元;RenVM的手续费为2万美元。
据官方消息,目前攻击者已通过USDT和USDC的形式退回开发者247.9万美元,这笔资金将通过快照按比例分配给资金受损的存款人。HarvestFinance持续发推希望黑客归还被盗资金,并悬赏10万美金奖励首位成功和攻击者取得联系并帮助返还用户资金的个人或团队。
安全端倪早已显现
在攻击发生前,DeFi分析师ChrisBlec揭露了HarvestFinance存在的巨大风险。其指出,HarvestFinance拥有一个管理密钥,可让持有者随意铸造代币并窃取用户的资金。正如该项目的审计公司PeckShield和Haechi所指出的那样,其治理参数不是由具有明确定义规则的合约来设置的。该管理密钥可能由该项目背后的匿名开发者持有。持有人可铸造无限数量的代币,并消耗代币的Uniswap池中的资金。
同时,ChrisBlec还表示,项目方或许有在试图向用户隐藏其审计报道。因为他发现:
Peckshield和HaechiLabs审计报告链接的URL都是不正确的,以及“https://github.com…”之前的所有内容都应被删除。
而在ChrisBlec发现问题并试图联系HarvestFinance社区和开发者,以询问管理密钥的归属时,其还遭受到言语攻击,并被禁止加入HarvestFinance的Discord社区,在Twitter上被拉黑。
最新进展
在最新的推特中,官方表示将在接下来的16小时内发布事后报告,并针对未来的危机应对策略制定工作,包括评估保险方案以及赔偿策略。截止发稿前,Harvest代币FARM暂报101.35美元,24小时跌幅达56.7%。
标签:ESTVESVESTARVDestiny SuccessFloki Loves ADADAO InvestLarva Inu
尊敬的LBank用户:LBank现公示从10月26日18:00至10月27日18:00交易量排名前三的中奖名单,具体情况如下:*为保证活动公平,LBank严禁刷单、对敲等作弊行为.
1900/1/1 0:00:00经过漫长的三年,Filecoin想要挑战谷歌云的雄心壮志遇到了第一个难题。Filecoin希望跟谷歌、亚马逊这样的科技巨头竞争,让云存储变得大众化,当年通过IC0筹集了2.5亿美元资金,在国内市.
1900/1/1 0:00:00尊敬的用户:火币全球站将于2020年10月27日15:00—11月1日15:00(GMT8)开启“充值&锁仓DOT赚币USDT”活动。本次活动共提供5万USDT奖励.
1900/1/1 0:00:00看世界·数字货币进行时数字货币近年在拉美兴起,促使拉美多国政府开展数字创新应用,带领民众步入数字生活,并成为解决社会矛盾、推动经济发展的一大“利器”.
1900/1/1 0:00:00尊敬的LBank用户:为回馈LBK社区用户,LBank将开启「LBK周四GO」ALGO八折专场售卖。本次售卖将于10月29日启动,本轮售卖共打折出售等值50,000USDT的ALGO.
1900/1/1 0:00:00尊敬的ZT用户:根据BCH官方计划,比特币现金网络将在11月15日按计划进行半年一次的硬分叉升级。?用户将在分叉后1:1获得BCH分叉代币.
1900/1/1 0:00:00