USD:一文了解Harvest Finance $2400万被盗事件经过及补救方案

摘要：为您一文梳理Harvest黑客攻击事件的经过、影响，以及后续补救措施。

10月26日，黑客利用闪贷从DeFi协议HarvestFinance的金库中盗走了2400万美元资金，尽管攻击者事后归还了大约250万美元的资金，但Harvest用户面临的损失依旧超过了2000万美元。对此，Harvest团队发推称承认编程漏洞属于团队责任，称将按照快照将退还的部分资金返还给用户，剩余被盗资金的赔偿计划还在研究中。同时请求黑客退还资金。

攻击过程

整个攻击过程持续了7分钟，以下为慢雾安全团队对此攻击过程的简要分析。

Nansen：70%ARB空投已被认领:金色财经报道，据Nansen数据显示，已有816,770,750枚ARB空投Token被认领，约占空投总量的70%。共有625,143个地址拥有认领资格，当前已领取地址达429,457个。[2023/3/24 13:23:23]

1.攻击者通过Tornado.cash转入20ETH作为后续攻击手续费

2.攻击者通过UniswapV2闪电贷借出巨额USDC与USDT

3.攻击者先通过Curve的exchange_underlying函数将USDT换成USDC，此时CurveyUSDC池中的investedUnderlyingBalance将相对应的变小

4.随后攻击者通过Harvest的deposit将巨额USDC充值进Vault中，充值的同时Harvest的Vault将铸出fUSDC，而铸出的数量计算方式如下：

Nexo将于4月1日起停止为美国客户提供Earn Interest服务:2月12日消息，加密借贷平台Nexo发文表示，由于该平台与SEC的和解条款规定，Nexo将于4月1日起停止为所有美国客户（包括公民和居民）提供EarnInterest Product理财服务，届时所有固定期限将被取消，美国客户需在此日期之前开始计划提取资金，Nexo的其他服务不会受到影响。

金色财经此前报道，加密借贷平台Nexo于1月20日宣布与美国证券交易委员会(SEC)达成和解，将支付4500万美元罚款并停止提供借贷产品EarnInterest Product（EIP）。其中，Nexo同意向SEC支付2250万美元罚款，并额外支付2250万美元以了结州监管机构提出的类似指控。[2023/2/12 12:01:43]

amount.mul(totalSupply).div(underlyingBalanceWithInvestment);

Hut 8发展副总裁：公司无意在短期内出售比特币:金色财经报道，Hut 8发展副总裁Sue Ennis表示，该公司无意在短期内出售其比特币。Ennis 指出，?从去年到今年，我们一直专注于如何实现收入多元化，并采取资产负债表优先的方式来确定我们何时购买机器以及我们为机器支付的价格点，这样我们就没有处于一种情况，如果事情发生横向变化，我们不得不出售我们都在追逐的这种非常有价值的有限资产。

Hut 8很可能只会在资产价格远高于历史高位时才考虑出售比特币，这表明摩根大通分析师和 Ark Invest 首席执行官 Cathie Wood 对比特币的长期预期分别达到 15 万美元和50 万美元。?到那时，它可能会变成一点点出售，将其重新投资到我们业务的 计算 和 Web3 方面，但同样，我们现在没有任何意图，也没有我们注意到的实际价格点。[2022/7/14 2:13:55]

计算方式中的underlyingBalanceWithInvestment一部分取的是Curve中的investedUnderlyingBalance值，由于Curve中investedUnderlyingBalance的变化将导致Vault铸出更多的fUSDC

比利时KBC银行推出Kate Coin:金色财经报道，比利时KBC银行是欧洲第一家推出基于区块链技术的数字货币Kate Coin的金融机构。客户将能够通过KBC Mobile中的Kate Coin钱包在“闭环”环境中获取和有效使用凯特币，在此之外，硬币没有货币价值。凯特币由KBC全额抵押，并以1:1的比例与欧元挂钩，每枚凯特币1欧元。KBC集团首席执行官JohanThijs评论说：“一个全新的经济目前正在基于Web3.0、加密货币、NFT等新技术的基础上发展。通过Kate Coin，我们正在进入这个新世界。这就是我们正在准备面向未来的KBC的方式。”（finextra）[2022/6/16 4:32:03]

5.之后再通过Curve把USDC换成USDT将失衡的价格拉回正常

6.最后只需要把fUSDC归还给Vault即可获得比充值时更多的USDC

7.随后攻击者开始重复此过程持续获利

事件影响

受此次安全事件影响，Harvest平台代币FARM币价暴跌50%，截至发稿达112美金。

同时，由于操作需求，此次安全事件也为数个DeFi平台带来了可观的交易手续费收入。

TheBlock研究总监LarryCermak对此发推称，这其中约92％的交易量来自USDT/ETH交易对和USDC/ETH交易对。他们为Uniswap的LP产生了576万美元的费用。

DeFi爱好者jiecut在推特上发表，受本次Harvest安全事件中，黑客在链上的操作为部分平台带来了比较可观的收入。其中Uniswap的流动性提供者收入近600万美元，平台交易量从1.48亿美元暴增到昨日的21.1亿美元；CurveLP大约可获得100万美元；ETHGas费达10万美元；RenVM的手续费为2万美元。

补救措施方案

10月27日，HarvestFinance发表文章公布了针对此次安全事件的补救措施。

HarvestFinance团队目前正在评估潜在的补救方案，并且将在接下来的版本中提现在新版本中的设计中，我们将在新金库中加入升级功能以及替代基于时间锁的投资策略，我们也会在新版本发布之前公布解决方案。

补救方法有以下几种可能:

1.实施存款承诺与披露机制。废除在单笔交易中执行存款与取款的功能，以此防止闪电贷攻击。从用户的角度来说，这意味着他们的代币将通过单一一笔交易被转入Harvest中。用户也需要在另一笔交易中取出其份额。这会导致用户体验发生变化，因为有可能用户需要支付更高、但仍能接受的Gas费。

2.加强对策略中的现有存款套利检查配置。当前的阈值为3%，但这不足以使金库免受攻击。一个更高的阈值能提高这类攻击的经济成本。但是也有可能导致在自然的无常损失影响下存款受限制。周日的事件只持续了7分钟，也就是说这种措施还没办法完全防止攻击，只能作为其他手段的补充。

3.基础资产提现。当用户把钱存入使用共享池的金库，他们的个人资产就被转为共享池中资产。如果用户只是提现基础资产，他们就可以根据当前的市场情况将其兑换为组合资产。如果市场被操纵，交易也会跟着被操纵，这就能使得攻击方无法获取利润。从一个普通用户的角度来看，提取yCRV之后，用户可以通过另一笔交易将其转换为稳定币。尽管用户体验会改变，但这也可以解决滑点的问题，因此对协议有利。这种方法的缺点是，它会将金库提现机制和当前正在使用的策略绑定起来：如果将策略切换到一个不使用共享基础池或使用不同池的其它策略，提现的币种也会改变。

4.使用预言机来决定资产价格。虽然外界预言机如ChainLink或者Maker可以决定资产价值的大概值，这个值和真实的价格还有一定的联系。如果DeFi项目内部的底层资产价格和预言机的报价出现差值，金库就又面临着投机和闪贷攻击。所以，这并不是Harvest的理想解决方案。但是，Harvest还是会考虑在系统设计和补救措施中使用预言机。

标签：USDUSDCSDCUSD币USD价格USDC币USDC价格SDC价格SDC币

DYDX热门资讯