火星链 火星链
Ctrl+D收藏火星链
首页 > 币安下载 > 正文

VEST:一文梳理 Harvest Finance 闪电贷安全事件

作者:

时间:1900/1/1 0:00:00

HarvestFinance此次遭受闪电贷攻击主要是由于fToken在铸币时采用Curvey池中的报价,攻击者可以通过巨额兑换操控预言机价格来控制fToken的铸币数量,从而获利。

撰文:阿得

10月26日中午12时左右,DeFi热门项目HarvestFinance被曝遭黑客攻击。据推特网友发现,疑似有黑客借用闪电贷,使用20ETH从HarvestFinance中套现超400万美元。

消息扩散后,HarvestFinance项目的FARM代币价格在短时间内下跌近60%,同时HarvestFinance和Curve的锁仓量大幅减少。截至目前,Curve锁仓量为8.53亿美元,较昨天减少25.92%;HarvestFinance锁仓量为5.85亿美元,较昨天减少47.27%。

链闻对相关信息进行梳理,简析HarvestFinance本次安全事件的要点。

Metatime计划6月起在多家交易所上线其生态系统代币MTC:6月24日消息,区块链公司Metatime计划6月起在各大主流加密货币交易所上线其生态系统代币Metatime Coin(MTC)。[2023/6/24 21:57:13]

到底发生了什么?

据慢雾安全团队分析,HarvestFinance项目此次遭受闪电贷攻击主要是HarvestFinance的fToken(fUSDC、fUSDT...)在铸币时采用的是Curvey池中的报价(即使用Curve作为喂价来源),导致攻击者可以通过巨额兑换操控预言机的价格来控制HarvestFinance中fToken的铸币数量,从而使攻击者有利可图。

攻击者通过Tornado.cash转入20ETH作为后续攻击手续费;攻击者通过UniswapV2闪电贷借出巨额USDC与USDT;攻击者先通过Curve的exchange_underlying函数将USDT换成USDC,此时CurveyUSDC池中的investedUnderlyingBalance将相对应的变小;随后攻击者通过Harvest的deposit将巨额USDC充值进Vault中,充值的同时Harvest的Vault将铸出fUSDC,而铸出的数量计算方式如下:amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());计算方式中的underlyingBalanceWithInvestment一部分取的是Curve中的investedUnderlyingBalance值,由于Curve中investedUnderlyingBalance的变化将导致Vault铸出更多的fUSDC之后再通过Curve把USDC换成USDT将失衡的价格拉回正常;最后只需要把fUSDC归还给Vault即可获得比充值时更多的USDC。;随后攻击者开始重复此过程持续获利。

以太坊域名服务ENS在主网上线新ENS App(Alpha),支持NameWrapper:4月18日消息,以太坊域名服务 ENS 现已在主网上线新 ENS App,并支持 NameWrapper(子域名封装器),目前新 ENS App 尚处于 Alpha 阶段。NameWrapper 通过将现有 ENS 域名封装为 ERC-1155 代币来增强功能,包括更好地控制封装域名的权限,赋予子域名更多的权限。[2023/4/18 14:11:02]

其他攻击流程与上诉分析过程类似参考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877

安全事件发生后,HarvestFinance初步调查后更新推特表示:

就像其他套利经济攻击,本次攻击源于一笔巨额闪电贷。攻击者多次操纵一个资金池的价格,以耗尽另一个资金池里的资金,随后再将资金转换为renBTC并套现。

USDT市值升至750亿美元附近,创2022年5月以来的新高:金色财经报道,CoinGecko数据显示,稳定币 USDT 市值上升至 750 亿美元附近,创 2022 年 5 月以来的最高水平。USDT 市值是 USDC 市值的两倍,尽管 USDC 已经解决了近期出现的问题并且与美元持平,但 SVB 银行挤兑的余波表明投资者越来越多地选择 USDT。

Glassnode 数据显示,USDT 的主导地位已飙升至 58.1%,为 2021 年 9 月中旬以来的最高水平。USDC 的主导地位从去年夏天的近 38% 下降至 30%附近,此外,BUSD 的市值从 2 月 13 日的 160 亿美元跌至 83 亿美元。[2023/3/16 13:08:47]

此外,HarvestFinance官方还表示:

此次攻击是通过Curvey池进行。为了保护用户,HarvestFinance已经将y池和BTCCurve策略资金存入Vault中。目前为止,所有稳定币和BTC资金都在Vault中。其他池不受影响。

慢雾:Ribbon Finance遭遇DNS攻击,某用户损失16.5 WBTC:6月24日消息,Ribbon Finance 发推表示遭遇 DNS 攻击,慢雾MistTrack通过链上分析发现攻击者与今天早前的Convex Finance 攻击者是同一个,地址 0xb73261481064f717a63e6f295d917c28385af9aa 是攻击者共用的用来调用恶意合约的钱包地址。同时分析发现,Ribbon Finance某用户在攻击中损失了 16.5 WBTC,具体交易为:https://etherscan.io/tx/0xd09057f1fdb3fa97d0ed7e8ebd8fd31dd9a0b5b61a29a22b46985d6217510850。[2022/6/24 1:29:35]

HarvestFinance还通过与RenProtocol合作,并相关的10个BTC地址,希望币安、火币、OKEx和Coinbase等交易平台对其进行冻结。其进一步称:

数据:当前Polygon生态总市值为2257亿美元:金色财经消息,据CoinGecko最新数据显示,当前Polygon生态总市值为2257亿美元(截至发稿时为225,703,677,060美元),24小时交易额为118,863,812,234美元。[2022/6/16 4:30:29]

除了持有被盗资金的BTC地址,我们现在还掌握了大量关于攻击者的个人身份信息。他在加密社区颇为有名。

后续影响

由于本次安全事件涉及的金额较大,且影响较广,再次引发市场对DeFi项目安全性的担忧。Cobo联合创始人神鱼在微博表示,理论上凡是Harvest上的稳定币和BTC挖CRV的单币都有这个风险,大家抓紧提现。

在市场恐慌蔓延的情况下,Debank数据显示,DeFi市场总锁仓价值从10月25日的149.98亿美元下降至今日138.90亿美元。在锁仓量排名前十的项目中,已有Harvest、Curve、YFI、Aave四个项目下跌比例超过10%。其中Harvest从11.19亿美元的锁仓量下跌至5.85亿美元。

锁仓量的大幅下降却带动了Uniswap等去中心化交易所的交易量。据Uniswap官网显示,Uniswap的交易量今日突现猛增态势,从昨天的1.48亿美元增长到21.1亿美元,24小时增长1267.91%。

TheBlock研究总监LarryCermak对此发推称,这其中约92%的交易量来自USDT/ETH交易对和USDC/ETH交易对。他们为Uniswap的LP产生了576万美元的费用。

据DeFi发烧友jiecut总结的数据显示,在本次安全事件中,黑客在链上的操作为部分平台带来了比较可观的收入。其中Uniswap的LP收入近600万美元;CurveLP大约可获得100万美元;ETHGas费达10万美元;RenVM的手续费为2万美元。

据官方消息,目前攻击者已通过USDT和USDC的形式退回开发者247.9万美元,这笔资金将通过快照按比例分配给资金受损的存款人。HarvestFinance持续发推希望黑客归还被盗资金,并悬赏10万美金奖励首位成功和攻击者取得联系并帮助返还用户资金的个人或团队。

安全端倪早已显现

在攻击发生前,DeFi分析师ChrisBlec揭露了HarvestFinance存在的巨大风险。其指出,HarvestFinance拥有一个管理密钥,可让持有者随意铸造代币并窃取用户的资金。正如该项目的审计公司PeckShield和Haechi所指出的那样,其治理参数不是由具有明确定义规则的合约来设置的。该管理密钥可能由该项目背后的匿名开发者持有。持有人可铸造无限数量的代币,并消耗代币的Uniswap池中的资金。

同时,ChrisBlec还表示,项目方或许有在试图向用户隐藏其审计报道。因为他发现:

Peckshield和HaechiLabs审计报告链接的URL都是不正确的,以及“https://github.com…”之前的所有内容都应被删除。

而在ChrisBlec发现问题并试图联系HarvestFinance社区和开发者,以询问管理密钥的归属时,其还遭受到言语攻击,并被禁止加入HarvestFinance的Discord社区,在Twitter上被拉黑。

最新进展

在最新的推特中,官方表示将在接下来的16小时内发布事后报告,并针对未来的危机应对策略制定工作,包括评估保险方案以及赔偿策略。截止发稿前,Harvest代币FARM暂报101.35美元,24小时跌幅达56.7%。

标签:ESTVESTVESNCEBEST价格VESTX币VESPASHIBA价格MYFinance

币安下载热门资讯
Gate.io:Gate.io 关于为用户退回HYVE投票资金并免费赠送HYVE的公告

Gate.io投票空投福利第五十四期HYVE的投票中,我们根据官方指导价格设置了折扣付费价格以期给用户带来空投福利.

1900/1/1 0:00:00
区块链:宁波携手蚂蚁集团试点“区块链 不动产登记”新模式

10月26日,宁波市不动产登记中心与蚂蚁集团就蚂蚁区块链技术在不动产登记、不动产抵押贷款领域的多业务协同创新和推广应用,签订了全面合作框架协议.

1900/1/1 0:00:00
CNT:关于ZT法币CNT停止划转的公告

尊敬的ZT用户:由于CNT法币交易区的下架,目前用户可在资金划转内将法币账户剩余的CNT划转至币币账户.

1900/1/1 0:00:00
数字货币:美国成立网络欺诈特别工作组 欧洲加强数字资产监管

美国面临着日益增长的跨国网络犯罪威胁,特别是针对其金融系统的威胁。日前,美国司法部以涉嫌逃税20亿美元的罪名起诉得克萨斯州科技界亿万富翁鲍勃·布罗克曼,这可能是美国历史上规模最大的同类诉讼.

1900/1/1 0:00:00
TRA:如何基于波卡开发区块链项目?

2020年10月20日,密码极客发起了第一期。我们非常荣幸邀请到了Parity亚洲区技术总监贾瑶琪博士做客密码极客大咖直播间,为大家讲解《如何基于波卡开发区块链项目》.

1900/1/1 0:00:00
TBI:Hotbit 定于10月28日上线 SWAGLIVE (SWAG Finance)

尊敬的用户:Hotbit即将开启SWAGLIVE(SWAGFinance)数字资产服务并开放SWAGLIVE理财产品。预计年化收益:10%;计息:T1.

1900/1/1 0:00:00