北京时间本周一,有推特网友发现疑似有黑客通过闪电贷从HarvestFinance中巨额套现。
随后HarvestFinance官方发布推特称,黑客发起的此次经济攻击是通过CurveY池进行的。为了保护用户,其已经将Y池和BTCCurve策略资金存入Vault中,所有稳定币和BTC资金都在Vault中,其他池不受影响。
对于这一安全事件,慢雾安全团队复盘了黑客的攻击手段:攻击者通过以太坊匿名转账平台Tornado.cash转入20ETH作为后续攻击手续费,然后通过UniswapV2闪电贷借出巨额USDC与USDT。
AC谈“DefiLlama面临内部分裂”:创始人Charlie此前自己支付所有费用,试图止血不是贪婪:3月19日消息,针对“DefiLlama面临内部分裂”,Andre Cronje表示,当你不买单的时候,很容易产生意识形态。多年来,DefiLlama联合创始人Charlie Watkins一直自掏腰包支付所有DefiLlama费用,这并不便宜。看着每个人都对他所做的一切嗤之以鼻,真是令人恶心。他试图止血不是贪婪,而是可持续性。让我们看看如果没有他的“免费钱”,他们能坚持多久。他们很快就会提出或添加广告或代币。
此前消息,DefiLlama开发者0xngmi在推特上表示,DefiLlama的推特账户和域名控制人决定发行代币,但这一提议遭到团队中所有人的反对。 0xngmi提醒用户不要相信来自DefiLlama的任何消息。[2023/3/20 13:13:55]
之后,攻击者先通过Curve将USDT换成USDC,这导致了CurveyUSDC池中的investedUnderlyingBalance参数变小,随后攻击者通过Harvest存入巨额USDC,同时铸出fUSDC,而计算铸出fUSDC数量依赖于CurveyUSDC池的investedUnderlyingBalance参数,这导致铸出了更多的fUSDC。
Evmos开发团队Tharsis Labs完成2700万美元融资:11月2日消息,Evmos核心开发团队Tharsis Labs宣布通过代币销售完成2700万美元种子轮融资,Polychain Capital领投,Galaxy、Huobi、HashKey、Coinbase Ventures、Circle Venture、Asymmetric以及多位Web3领域的天使投资者参投。
据悉,Evmos是使用Cosmos SDK构建的EVM兼容链,使开发者能够轻松推出跨生态系统使用的DApp。[2022/11/2 12:10:48]
完成这一步之后,攻击者通过Curve把USDC换回USDT,这时investedUnderlyingBalance参数恢复正常,攻击者只需归还fUSDC即可获得比充值时更多的USDC。通过重复这一过程,攻击者可以持续获利。
Harvest Finance总锁定价值在一周内翻倍:金色财经报道,去中心化平台Harvest Finance的总锁定价值在一周内翻倍,已达到7.04亿美元。该项目现在在DeFi Pulse的总价值锁定(TVL)排名中排名第七,超过了包括Synthetix、yearn.finance、RenVM和Balancer在内的流行DeFi项目。[2020/10/22]
随着DeFi应用的发展,DeFi安全问题正在成为不可忽视的问题。
据《比推》此前报道,今年初,两名黑客利用闪电贷攻击了保证金交易协议bZx,套利金额达到100万美元;随后在今年6月,Balancer流动性池再次遭闪电贷攻击,损失达50万美元。
闪电贷概念最早由Marble协议于2018年提出,旨在通过智能化合约完成的零风险贷款。智能合约平台一次性处理交易,所以一次交易的所有元素是批处理执行的,如果借款人不能偿还贷款,整个交易就会回滚,就像贷款根本没发生一样。
闪电贷不能收取传统意义上的利息,其最初的营销标签是主要用于套利交易。但是很快黑客发现可以用其进行经济攻击,攻击者可以使用闪电贷获得攻击所需要大量的前置资金,贷款也使得这些用于攻击的资金与黑客本身没有直接关联,使得难以追踪黑客的身份。
在HarvestFinance遭攻击这一事件中,黑客正是利用了这两点发起了精心设计的攻击。目前HarvestFinance仍在追查黑客信息,其官方推特称,将公开悬赏10万美金奖励首位成功和攻击者取得联系并帮助返还用户资金的个人或团队。
截止发稿时为止,HarvestFinance的锁定金额价值为5.4亿美元,相比一天前下跌了近50%。
图片来源:pixabay
作者LiangChe
声明:比推所有文章都只代表作者观点,不构成投资建议。投资有风险,后果自负。
作者:比推BitpushNews;来自链得得内容开放平台“得得号”,本文仅代表作者观点,不代表链得得官方立场凡“得得号”文章,原创性和内容的真实性由投稿人保证,如果稿件因抄袭、作假等行为导致的法律后果,由投稿人本人负责得得号平台发布文章,如有侵权、违规及其他不当言论内容,请广大读者监督,一经证实,平台会立即下线。如遇文章内容问题,请发送至邮箱:linggeqi@chaindd.com
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。