10月26日,疑似有駭客借用閃電貸,使用20ETH從Harvest中套現超400萬美元,此次總轉賬費為5.19ETH。
Harvest Finance是DeFi收益聚合器,類似於yEarn Finance和Rari Capital。像其他專案一樣,Harvest還帶有FARM治理代幣。在發行兩週後,Harvest Finance迅速提高了DeFi排名,獲得了超過10億美元的總價值鎖定(TVL)。
覆盤此次被攻擊的過程,Harvest Finance稱,像其他套利經濟攻擊,這一次起源於一筆鉅額閃電貸,並多次操縱一個貨幣樂高(Curve y Pool)的價格,以耗盡另一個貨幣樂高(fUSDT、fUSDC)的資金。攻擊者隨後將資金轉換為renBTC並套現。像其他閃電貸攻擊,攻擊者沒有給出響應時間,連續7分鐘端到端地進行攻擊。攻擊者以USDT和USDC的形式向Deployer退回2478549.94美元。這將透過快照按比例分配給受影響的儲戶。
此次駭客使用的錢包初始ETH來源為以太坊匿名轉賬平臺Tornado.cash。此次操作的Hash為0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877從以太坊瀏覽器上可以看到,該駭客向HarvestFinance合約(地址:0xc6028a9fa486f52efd2b95b949ac630d287ce0af)轉賬20枚WETH,最後又將這20枚ETH轉回了自己的地址。該駭客的操作步驟較多,透過多個合約交易成功套現約413萬美元。
受駭客攻擊此影響,Harvest代幣FARM在不到一個小時內跌幅達-63.8%,截至發稿時報價110.99USDT。
事實上,Harvest Finance遭遇攻擊不僅導致FARM代幣價格在短時間內下跌超60%,還導致Harvest Finance和Curve鎖倉量大幅減少。截至發稿前,Curve鎖倉量為6.54億美元,較昨天減少28.67%;Harvest Finance鎖倉量為5.91億美元,較昨天減少42.41%。
B L A C K
針對Harvest Finance一事,Dovey Wan發微博稱,“一直這在上面的農民真的是心大啊,Harvest的Vault的策略經常變化,並且幾乎沒有社羣治理,外加開發者一直都是匿名……幾個危險條件完全滿足。”
F2Pool聯合創始人神魚在微博表示:“駭客透過閃電貸瞬間操縱了CRV上穩定幣的匯率,然後在harvest低價充值某穩定幣、然後在CRV購回賣出穩定幣,恢復正常匯率,harvest提現,賺取匯率差。理論上Harvest上穩定幣、BTC,凡是挖crv的單幣都有這個風險,大家抓緊提現吧。”
Harvest Finance發推稱,我們正積極致力於減輕對穩定幣和BTC池的經濟攻擊。
