EST:一文梳理Harvest.finance事件:到底发生了什么?

10月26日,有用户发现DeFi挖矿项目?Harvest.finance疑似遭到黑客攻击。黑客借用闪电贷,获利近2400万美元。随后市场信息纷纷涌出,由于涉及金额巨大,很快引起了国内外加密社区的猜想。律动BlockBeats根据已知信息以及官方回复,将此事件进行一个简单的梳理,帮助用户了解和跟进最新情况。

黑客到底是如何操作的?

律动观察到,黑客对于合约和匿名操作十分熟悉,在开始操作之前似乎还进行试验。黑客使用的初始ETH是从以太坊隐私交易平台Tornado.cash转出的。操作的Hash为:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

纽约联储的数字美元测试取得成功,提供更快速可靠的支付:金色财经报道,纽约联储和包括富国银行和花旗银行在内的几家美国大型银行宣布早期一项数字资产实验成功,该实验使用代币化美元进行更快速和更可靠的支付。该实验使用分布式账本技术在不同金融机构之间进行国内和国际支付。结果显示在可编程性、隐私性、与其他批发支付系统的互操作性、可用性以及结算速度这五个测试领域取得了成功。[2023/7/7 22:23:18]

HarvestFinance官方称,像其他套利经济攻击一样,此次攻击起源于一笔巨额闪电贷。攻击者通过多次操纵CurveY池的价格,以耗尽Harvest的fUSDT、fUSDC池的资金。攻击者随后将资金转换为renBTC并套现。像其他闪电贷攻击操作一样,攻击者动作迅速,没有给平台反应的时间,连续7分钟端到端地进行攻击。攻击者以USDT和USDC的形式向开发者退回2478549.94美元。Harvest表示这笔资金将通过快照按比例分配给受影响的储户。

AAVE社区发起“调整风险参数以减少V2上对CRV的风险敞口”的ARFC提案:6月20日消息,Snapshot投票页面显示,AAVE社区将于6月21日对“降低Aave V2以太坊上CRV的清算门槛(LT)和贷款价值比 (LTV)”的ARFC提案进行投票,并将于6月24日结束。该提案由Chaos Labs提出,提议按照其建议减少Aave在V2以太坊上对CRV的风险敞口。如果达成共识,将提交Aave改进提案(AIP)以实施提议的更新。

提案称,由于降低清算门槛可能导致用户帐户在获得批准后就有资格进行清算,因此Chaos Labs希望在每个步骤中向社区澄清全部影响。为了最大限度地减少这种影响,建议按照社区先前批准的风险规避框架,通过一系列增量减少来达到预期的设置,在任何给定的AIP中减少最多3%。为了避免清算,Chaos Labs将公开传达导致链上执行的计划修订和受影响账户清单。[2023/6/20 21:49:16]

HarvestFinance给出的信息似乎与加密交易员们的推测一致。aelf的创始人马昊伯发表了自己的推测。首先需要了解的是,闪电借贷可以无抵押借到很多钱,不管是有多少滑点的AMM,都是有滑点的。而且Curve的曲线虽然在两个币种之间的滑点比较低,但是到极端情况下还是会有不可控的事件发生。

派盾:BitKeep攻击者将118万DAI转移至交易平台:12月27日消息,据派盾监测,BitKeep攻击者将118万DAI转移至交易平台。其中100万枚DAI转移至OKX,18万枚DAI转移至Kucoin。[2022/12/27 22:10:58]

马昊伯猜测:黑客可能是利用闪电借贷借了一大笔钱,然后把curve的价格搞到十分离谱,然后再到Harvest按照不合适的价格进行单边充值,然后利用Curve将钱赎回。这样一来Harvest亏了,黑客就赚到了,Curve也因为这波操作价格产生波动。而Curve的所谓亏损其实和Uniswap的LP亏损一样,是一种无偿损失,价格会很快恢复。」

Jump Crypto总裁:随着中心化交易所的崩溃,现在建立信任层的压力越来越大:金色财经报道,Jump Crypto总裁Kanav Kariya周日谈到了在加密货币中需要更好的信任层。这位高管认为,随着中心化交易所的崩溃,现在建立更强大、更快速的信任层的集体压力越来越大。

Kanav Kariya补充道,FTX的所谓欺诈在100年前会被视为欺诈。它在一个以抽象化信任为前提的行业中浮出水面,这是一个残酷的把戏,在社会信任度下降的环境中,加密货币和信任的抽象概念比以往任何时候都更有意义,信任的解体对我们的行业产生了严重的负面影响,而且在我看来,大大超过了正面影响。低信任度极大地减缓了创新和进步。[2022/11/28 21:05:53]

后续影响

Harvest.finance的官方推特在10月26日12点30分左右表示:「我们正在积极致力于减轻对稳定币池和BTC池的攻击问题。经济攻击是通过CurveY池进行的,通过拉高CurveY池流动性,导致收益率暴涨,随后通过harvest进行大量存取款操作。

为了保护用户,我们已经把100%的稳定币和BTCCurve策略基金放到了保险库中。同时为了保护用户,HarvestFinance正在阻止用户向稳定币和BTC保险库中充值,现有存款将继续赚取FARM。」

受此事件影响,不少用户担心资产安全,纷纷提现转账,加上黑客操作及套现行为,根据Debank数据显示,去中心化交易平台的单日成交量创历史新高,超过30亿美元。同时,律动发现,Harvest和Curve的总锁仓量开始下降,Curve24小时锁仓量下跌26%,Harvest24小时锁仓量下跌46%。

用户应该怎么办?

由于黑客一直在通过RenBTC进行兑现。截止发稿时,HarvestFinance官方已宣布通过与RenProtocol合作,获取相关RenBTC提现地址。并公布了通过RenProtocol导出的BTC地址,现在正在寻求币安、火币、OKEx和Coinbase等交易平台的帮助,希望可以冻结相关地址。

那么在事件并未完全清晰的情况下,用户应该如何操作?对此,神鱼在内的多个业内人士建议用户先将资金提出,以确保资金安全。另外官方此前已建议用户暂停向稳定币池以及BTC保险池进行充值。

网友总结了黑客的这一系列操作,都对那些平台或个人产生了收入。目前来看黑客获利2400万美元左右;通过Uniswap进行套现,UniswapLP收入600万美元;黑客向Harvest的开发者返还了247万余美元;通过Curve的流动性池完成的这一波套利操作,因此CurveLP大约可获得100万美元收入;调用合约、转账等产生的ETHGas手续费10万美元;最后通过RenBTC兑现,RenVM手续费2万美元。

目前HarvestFinance官方仍在对此事进行调查。Harvest团队表示,除了套现的BTC地址外,社区中流传着大量关于攻击者的信息,将悬赏10万美元寻找攻击者。此次悬赏仅仅是出于对平台用户资金的考虑,希望攻击者能将资金打回开发者地址,团队尊敬攻击者的技巧和聪明才智,不会对攻击者有其他方面的干扰。?

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:15ms0-0:526ms