VES:一文梳理 Harvest Finance 闪电贷安全事件_NCE

HarvestFinance此次遭受闪电贷攻击主要是由于fToken在铸币时采用Curvey池中的报价，攻击者可以通过巨额兑换操控预言机价格来控制fToken的铸币数量，从而获利。

撰文：阿得

10月26日中午12时左右，DeFi热门项目HarvestFinance被曝遭黑客攻击。据推特网友发现，疑似有黑客借用闪电贷，使用20ETH从HarvestFinance中套现超400万美元。

消息扩散后，HarvestFinance项目的FARM代币价格在短时间内下跌近60%，同时HarvestFinance和Curve的锁仓量大幅减少。截至目前，Curve锁仓量为8.53亿美元，较昨天减少25.92%；HarvestFinance锁仓量为5.85亿美元，较昨天减少47.27%。

链闻对相关信息进行梳理，简析HarvestFinance本次安全事件的要点。

到底发生了什么？

据慢雾安全团队分析，HarvestFinance项目此次遭受闪电贷攻击主要是HarvestFinance的fToken(fUSDC、fUSDT...)在铸币时采用的是Curvey池中的报价(即使用Curve作为喂价来源)，导致攻击者可以通过巨额兑换操控预言机的价格来控制HarvestFinance中fToken的铸币数量，从而使攻击者有利可图。

Terra Classic独立开发团队TerraCVita完成100万美元融资:1月10日消息，Terra Classic独立开发团队TerraCVita宣布完成100万美元融资，投资者未知。本轮融资旨在推动旗下去中心化金融项目Terraport发展，该项目计划推出一个社区去中心化交易平台Terra Community DEX，预计将在2023年一季度上线。[2023/1/10 11:04:30]

攻击者通过Tornado.cash转入20ETH作为后续攻击手续费；

攻击者通过UniswapV2闪电贷借出巨额USDC与USDT；

攻击者先通过Curve的exchange_underlying函数将USDT换成USDC，此时CurveyUSDC池中的investedUnderlyingBalance将相对应的变小；

随后攻击者通过Harvest的deposit将巨额USDC充值进Vault中，充值的同时Harvest的Vault将铸出fUSDC。而铸出的数量计算方式如下：amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());计算方式中的underlyingBalanceWithInvestment一部分取的是Curve中的investedUnderlyingBalance值，由于Curve中investedUnderlyingBalance的变化将导致Vault铸出更多的fUSDC。

Vitalik Buterin：区块链和加密货币间存在“紧密联系”，以至于“缺一不可”:11月21日消息，以太坊联合创始人Vitalik Buterin在接受海峡时报采访时表示，考虑到新加坡对加密资产类别持怀疑态度，新加坡在加密货币监管方面的善意尝试可能不会奏效。V神说他很欣赏新加坡对加密行业的支持愿意，但这一切可能都是徒劳的。V神表示：“世界各地的监管机构都希望支持新兴技术，但同时也觉得加密货币‘奇怪和可怕’。由于对加密货币缺乏理解和恐惧，监管机构试图将区块链作为一种独立于加密货币的技术来对待。新加坡的情况就是如此。”V神表示，区块链和加密货币之间存在“紧密联系”，以至于“缺一不可”。

V神称加密社区通常喜欢支持有权势的人，这是愚蠢的。他重申了他对萨尔瓦多去年“自上而下”采用比特币的批评，称这是加密社区做错的一个例子。他说，比特币社区对这一消息感到高兴，却忽视了该国的严峻现实。尽管萨尔瓦多总统Nayib Bukele的政府“不太民主”，不善于“尊重人民的自由”，但该社区还是支持萨尔瓦多。此外，V神设为监管机构可以设置护栏，社区可以“教育用户”。但“可以阻止多少不良活动终究是有限度的”，因为区块链系统的性质要求它对所有人开放。[2022/11/21 22:12:29]

之后再通过Curve把USDC换成USDT将失衡的价格拉回正常；

ConsenSys Ventures前负责人Kavita Gupta推出Delta区块链基金:9月22日消息， ConsenSys Ventures前负责人Kavita Gupta推出Delta区块链基金，目标规模为5000万美元-1亿美元。Gupta表示，她大约在六周前开始建立该基金。它将投资NFT、DeFi、可扩展性和多链互操作性，重点关注去中心化身份。另一个重点是从硬件和软件的角度来看存储和计算，她认为这对于支持机构采用非常重要。新成立的Delta区块链基金在第一轮融资中就获得超额认购，超过3000万美元，并吸引Quantstamp和Polygon等项目创始人、Viraj Mehta（Rosy Blue）、Klaus Hommels（Lakestar）的投资。

据悉，Gupta此前曾在2018年为ConsenSys Ventures管理5000多万美元的基金。她于2019年离开公司，在斯坦福大学任教。（CoinDesk）[2021/9/22 16:58:34]

最后只需要把fUSDC归还给Vault即可获得比充值时更多的USDC；

声音 | Vitalik Buterin：许多DApp的用户界面都很差:Vitalik Buterin在伦敦帝国理工学院(Imperial College London)发表演讲时，承认，到目前为止，许多DApp的用户界面都很差，很难找到用户。他在探索以太坊是否能通过扩容来支持它们。[2018/12/4]

随后攻击者开始重复此过程持续获利。

其他攻击流程与上诉分析过程类似参考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877

安全事件发生后，HarvestFinance初步调查后更新推特表示：

就像其他套利经济攻击，本次攻击源于一笔巨额闪电贷。攻击者多次操纵一个资金池的价格，以耗尽另一个资金池里的资金，随后再将资金转换为renBTC并套现。

现场 | Vitalik Buterin：区块链可以被视作是一种促进各种经济协调的工具:金色财经现场报道，今日，由金色财经提供战略媒体支持的以太坊产业发展峰会在香港举办，会上以太坊创始人Vitalik Buterin及其团队接受了包括金色财经在内的中外媒体采访。在回答“区块链究竟能给我们这个社会带来些什么”这一问题时，Vitalik Buterin表示：“我认为你可以把区块链看作是一种促进各种经济协调的工具，就像其他不同种类的经济机制一样，人们可以在互联网上合作制作内容，然后再各自获得报酬，这样就会鼓励人们更具有责任心，他们在制作新闻的时候也会更负责，不会出现虚假新闻。现阶段，人们正在提出各种不同的工具、或是不同的经济机制，鼓励大家以更广泛的受益形式来工作。传统支付方式很难满足这种协作工作模式，因此区块链能够创建全新的经济机制。我写论文的时候，也得到了开发者们的支持。”[2018/9/8]

此外，HarvestFinance官方还表示：

此次攻击是通过Curvey池进行。为了保护用户，HarvestFinance已经将y池和BTCCurve策略资金存入Vault中。目前为止，所有稳定币和BTC资金都在Vault中。其他池不受影响。

HarvestFinance还通过与RenProtocol合作，并相关的10个BTC地址，希望币安、火币、OKEx和Coinbase等交易平台对其进行冻结。其进一步称：

除了持有被盗资金的BTC地址，我们现在还掌握了大量关于攻击者的个人身份信息。他在加密社区颇为有名。

后续影响

由于本次安全事件涉及的金额较大，且影响较广，再次引发市场对DeFi项目安全性的担忧。Cobo联合创始人神鱼在微博表示，理论上凡是Harvest上的稳定币和BTC挖CRV的单币都有这个风险，大家抓紧提现。

在市场恐慌蔓延的情况下，Debank数据显示，DeFi市场总锁仓价值从10月25日的149.98亿美元下降至今日138.90亿美元。在锁仓量排名前十的项目中，已有Harvest、Curve、YFI、Aave四个项目下跌比例超过10%。其中Harvest从11.19亿美元的锁仓量下跌至5.85亿美元。

锁仓量的大幅下降却带动了Uniswap等去中心化交易所的交易量。据Uniswap官网显示，Uniswap的交易量今日突现猛增态势，从昨天的1.48亿美元增长到21.1亿美元，24小时增长1267.91%。

TheBlock研究总监LarryCermak对此发推称，这其中约92％的交易量来自USDT/ETH交易对和USDC/ETH交易对。他们为Uniswap的LP产生了576万美元的费用。

据DeFi发烧友jiecut总结的数据显示，在本次安全事件中，黑客在链上的操作为部分平台带来了比较可观的收入。其中Uniswap的LP收入近600万美元；CurveLP大约可获得100万美元；ETHGas费达10万美元；RenVM的手续费为2万美元。

据官方消息，目前攻击者已通过USDT和USDC的形式退回开发者247.9万美元，这笔资金将通过快照按比例分配给资金受损的存款人。HarvestFinance持续发推希望黑客归还被盗资金，并悬赏10万美金奖励首位成功和攻击者取得联系并帮助返还用户资金的个人或团队。

安全端倪早已显现

在攻击发生前，DeFi分析师ChrisBlec揭露了HarvestFinance存在的巨大风险。其指出，HarvestFinance拥有一个管理密钥，可让持有者随意铸造代币并窃取用户的资金。正如该项目的审计公司PeckShield和Haechi所指出的那样，其治理参数不是由具有明确定义规则的合约来设置的。该管理密钥可能由该项目背后的匿名开发者持有。持有人可铸造无限数量的代币，并消耗代币的Uniswap池中的资金。

同时，ChrisBlec还表示，项目方或许有在试图向用户隐藏其审计报道。因为他发现：

Peckshield和HaechiLabs审计报告链接的URL都是不正确的，以及“

https://github.com…”之前的所有内容都应被删除。

而在ChrisBlec发现问题并试图联系HarvestFinance社区和开发者，以询问管理密钥的归属时，其还遭受到言语攻击，并被禁止加入HarvestFinance的Discord社区，在Twitter上被拉黑。

最新进展

在最新的推特中，官方表示将在接下来的16小时内发布事后报告，并针对未来的危机应对策略制定工作，包括评估保险方案以及赔偿策略。截止发稿前，Harvest代币FARM暂报101.35美元，24小时跌幅达56.7%。

标签：VESVESTNCEPOSRevest FinanceCoinvestAmericanHorror.Financecpos币官网

币赢热门资讯