VES:Harvest Finance攻击事件全复盘:如何用20个ETH的成本撬动3000万美元收益?

作者|秦晓峰编辑|郝方舟出品|Odaily星球日报

今天上午,DeFi聚合协议HarvestFinance针对昨天闪电贷攻击发布声明。根据公告,本次攻击损失共计3380万美元,约占攻击发生前协议中锁仓总价值的3.2%;攻击者退回的247万多美元,将根据快照按比例分配给受影响的储户;未来HarvestFinance将对存款实行“提交-披露”机制,减少闪电贷攻击,使用预言机来确定资产价格,并提高存款arb配置(当前阈值设置为3%)。昨天上午10点,推特用户爆料称,攻击者通过闪电贷依靠20ETH的成本在Curve协议y池进行套利获得无常损失,而Curve.fiY池正是Harvest金库投资的地方。攻击者随后将资金转换为renBTC并套现,Harvest也因此损失数百万美元,不少参与者称损失了15%~20%以上的资金。受此影响,HarvestFinance治理代币FARM价格从237美元一度暴跌至78美元,最大跌幅接近70%;截至今天发稿,FARM价格回升至110美元左右;Harvest协议锁仓量,也从11.1亿美元量已骤降至4.5亿美元,最大跌幅60%。不过,Curve协议却并未受到影响,其治理代币CRV价格在过去24小时不断攀升,一度升至0.44USDT,最大涨幅接近30%。

NEM客户端发布v0.6.100版本,引入Harlock硬分叉:11月24日消息,NEM客户端发布v0.6.100版本,此客户端升级在区块高度3,481,580处引入了NEM的Harlock硬分叉,是所有运营商的强制性升级。

此前消息,NEM宣布第七次硬分叉Harlock,NEM节点将投票决定NEM区块链是否合并为Symbol的子链, 或一种特定于交易的侧链。Harlock预计将在区块高度3,464,800处执行。[2021/11/24 7:08:16]

事件回顾:闪电贷套利

HarvestFinance,是一个DeFi收益聚合器,其主要功能是向其它DeFi池提供流动性来为自己的流动性提供者赚取收益。在攻击发生前,HarvestFinance主要在Curve协议y池提供流动性。攻击者是如何实现攻击,完成套利的?先为大家捋一下本次攻击的逻辑,简单来说分三步,即「借贷-正向操作价格-逆向操纵价格」:攻击者通过闪电贷借出大量USDT以及USDC;在Y池将大量USDT兑换成USDC,导致USDC价格升高;由于Harvest池内USDC价格参考Y池,也跟着上涨;此时再用USDC在Harvest池兑换更多的fUSDC;在Y池对上述过程逆向操作,将大量USDC兑换成USDT,导致USDC价格降低;此时Harvest池内USDC价格也跟着下降;再用fUSDC可以兑换出比原来更多的USDC,完成套利。当然,为了使得链上交易能在极短的时间内进行,因此每笔交易都给足了手续费。HarvestFinance公告介绍了完整的攻击链条:通过以太坊匿名转账平台Tornado.cash转入20ETH作为后续攻击手续费,攻击者钱包地址是0xf224ab004461540778a914ea397c589b677e27b,并部署了一个攻击合约0xc6028a9fa486f52efd2b95b949ac630d287ce0af。通过UniswapV2闪电贷借出巨额USDT与USDC,注入攻击合约中;该合约在Curve协议Y池内通过互换协议将17222012.640506USDT兑换成了USDC。互换的影响是,由于其它资产发生了无常损失,Y池内的USDC价值升高,获得了17216703.208672USDC;此时,攻击者加上之前闪电贷款的本金,攻击持有约6721万USDC、108.65万的USDT。攻击者将49,977,468.555526USDC存入Harvest的USDC金库,按照单价fUSDC/USDC=0.97126080216,兑换了51,456,280.788906fUSDC。攻击前单价为0.980007,现在单价0.9712环比下降大约1%,并没有触发Harvest套利策略设置的3%红线,因此交易有效且成功进行,没有被强制恢复。攻击者通过y池,将剩余的17239234.653146USDC兑换回17,230,747.185604USDT;由于无常损失效应的恢复,此时Y池中USDC价值下降,攻击者获得17,230,747.185604USDT。攻击者从Harvest的USDC金库中提币,由于此时Y池内的USDC价值下降,fUSDC/USDC单价升高至0.98329837664,攻击者将此前全部的fUSDC的股份交换回了50596877.367825USDC。并且,USDC完全由Harvest的USDC金库支付,完全不与Y池交互,也就不会影响Y池内USDC价格。经过这么一次套利,攻击者的净利润为619408.812299USDC。而后,攻击者同一笔交易中重复了几次该过程。在4分钟内,攻击者针对USDC金库执行了17笔攻击交易后,而后有用类似的方式对USDT金库发起攻击,并在3分钟内完成了13笔攻击交易。北京时间10月26日11:01:48,攻击者将13,000,000USDC和11,000,000USDT从攻击合约中转移至地址0x3811765a53c3188c24d412daec3f60faad5f119b。事件曝光后,攻击者向Harvest返还了部分资金,共计1761898.396474USDC和718,914.048541USDT。攻击发生后,不少人在Harvest推特下留言称,损失了15%-20%的资金。众多KOL也建议用户先将资金从Harvest提出,以确保资金安全。根据Harvest统计,用户损失情况不容乐观:USDC金库单价从0.980007跌至0.834953,USDT金库单价从0.978874跌至0.844812,跌幅分别为13.8%和13.7%;总计损失的价值约为3380万美元,约占攻击发生前协议中锁仓总价值的3.2%。

CoinShares CSO:比特币和加密货币的投资配比正在不断增加:CoinShares的CSO Meltem Demirors分析了第一季度创纪录的加密货币流入量,她表示,黄金ETP在过去两个季度中有200亿美元的流出,而加密货币ETP却有70亿美元的流入量。这说明比起黄金,投资者想要加密货币。此前消息,第一季度加密货币基金流入量创历史新高,达到45亿美元,打破了2020年第四季度39亿美元的季度记录。(CNBC)[2021/4/8 19:57:07]

官方态度:补救之外,攻击者还钱就行

事故发生后,Harvest团队发文表示,为了保护用户,已经采取措施阻止向稳定币和BTC金库存款,现有存款将继续赚取FARM。根据今天上午公告,Harvest已经从共享池中撤出所有资金,包括DAI、USDC、USDT、TUSD以及WBTC和renBTC。这些资金目前存放在金库中,不会受到进一步的市场操纵。另外,这次攻击没有涉及到DAI、TUSD、WBTC和renBTC,这些金库的储户没有受到影响。另外,关于用户补偿方面,Harvest表示,攻击者退回的247万多美元,将通过快照按比例分配给受影响的储户,其他补救方法将在治理中进行分析和表决。此次事故,也暴露了Harvest系统机制所存在的弊病。慢雾安全团队分析认为,此次攻击主要是fToken在铸币时采用的是Curvey池中的报价,导致攻击者可以通过巨额兑换操控预言机的价格来控制fToken的铸币数量。针对报价问题,Harvest下一步将使用预言机来确定资产价格。“虽然一个近似的资产价格可有效地从外部预言机中确定,但是它与实际价格的联系非常松散。如果底层DeFi协议内的资产价值与预言机报价不同,金库将面临自由套利和闪电贷攻击。这不是Harvest的解决方案,但是,在系统设计和可能的缓解策略中,我们将考虑使用预言机。”并且,未来HarvestFinance将对存款实行“提交-披露”机制,减少闪电贷攻击,提高存款arb配置(当前阈值设置为3%)。此外,HarvestFinance原定于10月27日发布的智能合约改进计划也将被推迟,以便在攻击背景下再次评估其安全性。对于攻击者,HarvestFinance公布了相关涉案地址,并发文表示,“除了持有被盗资金的BTC地址,我们现在还获取了大量关于攻击者的个人身份信息,他在加密社区颇为有名。”不过,HarvestFinance似乎无意追查攻击者的身份信息。“我们对公开攻击者个人信息不感兴趣,我们尊重你的技术和独创性,只要你把钱返还给用户。攻击者已经证明了他们的观点。如果他们能把这笔钱返还给用户,将会受到社会各界的高度赞赏,将资金返还给受影响的用户是重点。”在公告中,HarvestFinance表示:我们向第一个帮助我们找回资金的个人或团队提供10万美元的赏金。如果是在接下来的36小时内完成退还,则赏金为40万美元。请不要在这个过程中人肉搜索攻击者,我们强烈建议将所有努力集中在确保用户资金成功返还给部署人员上。由于攻击者一直在通过RenBTC进行变现。截止发稿时,HarvestFinance官方已宣布通过与RenProtocol合作,获取相关RenBTC提现地址,并公布了通过RenProtocol导出的BTC地址,现在正在寻求币安、火币、OKEx和Coinbase等交易平台的帮助,希望可以冻结相关地址。

JustSwap白名单项目SharkTron跑路,损失3.66亿至4亿枚TRX:DeFi项目SharkTron的开发者据称窃取1000万美元的TRX。社区指责SharkTron匿名开发者是退出局,已经卷走数亿枚TRX跑路。虽然具体的盗窃金额仍不得而知,但推特用户报告称损失3.66亿至4亿枚TRX(价值约1000万美元)。

波场基金会官方推特账户证实了此事,并已经联系币安共同追查罪犯者和被盗资金。虽然币安已经冻结一部分资金,但其他交易所也可能参与追讨这笔资金。该团队建议受害者向当地警察提交报告。

一些用户声称,SharkToken是波场去中心化交易所JustSwap的白名单项目。推特用户曾提醒波场创始人孙宇晨该项目的欺诈性质,甚至要求他屏蔽匿名开发人员的钱包。但是,孙宇晨没有理会这些警告。一些人甚至指责孙宇晨直接参与了这场局;然而,这些指控没有得到事实的证实。(FXStreet)[2020/11/10 12:12:07]

深陷负面舆论的HarvestFinance

由于HarvestFinance对待攻击者态度较为「暧昧」,不少声音认为官方监守自盗,上演了一出贼喊捉贼的大戏。加密KOL@Bitcoin发出质疑:事实上没什么事能比直接抢用户本金更赚钱,FARM总市值就2500万,项目方20%的币,即便所有币卖完也就赚500万,赚千把万是极限了,而搞这么一出收益几千万。结合项目方对这件事的处理方案,我觉得确实不小的概率项目方监守自盗,所以他们肯定不会把自己搞来的钱在拿去填这个坑;黑客冒着风险,只盗取了几千万美元却没有直接把上亿的池子全部榨干,明显是不想让项目死掉,和团队的利益是一致的;有投资者在推上问能不能拿部分团队的币来补偿受害者,Harvest回答资金数额太大了,自己不能承担。事实上大家都清楚赔不赔和能不能赔得起是两回事,这个团队压根不想赔;据投资者称,此前社区里的投资者不断地在反应fusd被套利净值不断下跌的情况,但团队一个多月面对这情况始终视而不见,任由“黑客”套利。这并不是HarvestFinance第一次深陷舆论危机。就在套利攻击前两天,DeFi观察者ChrisBlec就揭示了风险:该项目合约锁定的10多亿美元资金完全受匿名开发者的控制,并且开发团队存在刻意隐瞒这一事实的嫌疑。

Kevin Hart要求撤销其推广的欺诈性ICO诉讼的动议遭到投资者反对:参与FLiK 2017年ICO的投资者反对艺人Kevin Hart要求撤销700万美元的诉讼的提议。这位投资者声称,由于Hart他们集体损失了超过200万美元,说唱歌手'TI'和FLiK高管Ryan Felton为ICO兜售未注册的证券,但ICO最终未能实现。此前消息,2019年5月,美国法院指控说唱歌手T.I.在FLiK ICO中销售未经注册的证券。2020年3月,美国法院清除说唱歌手TI关于FLiK ICO相关的指控。(Cointelegraph)[2020/4/26]

CoinTelegraph援引安全团队Haechi审计报告报告称,HarvestFinance拥有一个管理密钥,可让持有者随意铸造代币并窃取用户的资金,该管理密钥可能由该项目背后的匿名开发者持有。币印潘志彪表示,Harvest没有进入币印DeFi理财,最大的原因就是没有通过币印的风控,他们理论上甚至可以挪用客户资金,因为缺乏必要的Timelock、多签管理等保护措施,他们为提高资金使用效率,采用快速生效策略机制,但极大牺牲了安全性。作为对外界质疑的回应,HarvestFinance在合约中引入了一个12小时的时间锁功能,但依然未能打消用户质疑。经历了此次攻击风波,HarvestFinance链上锁仓量也从11.1亿美元量已骤降至4.5亿美元,最大跌幅60%。未来,HarvestFinance将如何发展,Odaily星球日报也将持续关注。

声音 | CoinShares首席战略官:监管者总是利用集中化的中介对比特币用户征税、施压以及追踪:数字资产管理公司CoinShares首席战略官Meltem Demirors发推称,监管者“总是”会利用交易所等集中化的中介对比特币用户征税、施压以及追踪。这就是为什么非托管钱包和服务是至关重要的——消除中介,消除瓶颈,移除强制和控制的能力。[2019/7/31]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:62ms0-0:927ms