今年以来,DeFi崛起,新项目层出不穷,流动性挖矿吸引了大批投资者进场。与此同时,DeFi项目现阶段的技术难以兼顾去中心化本质和安全性、稳定性,很多项目为了赶上风口,带着合约漏洞就匆忙上场,潜在风险还是很高的。
10月 26 日,黑客利用闪贷从 DeFi 协议 Harvest Finance的金库中盗走了 2400 万美元资金,尽管黑客事后归还了大约 250 万美元的资金,但 Harvest 用户面临的损失依旧超过了 2000 万美元。对此,Harvest团队发推称承认编程漏洞属于团队责任,称将按照快照将退还的部分资金返还给用户,剩余被盗资金的赔偿计划还在研究中。同时请求黑客退还资金。
随后Harvest Finance悬赏10万美元追踪黑客,后来28日增加到40万美元,今天将赏金提高到100万美元,目前,未有所获,先不论Harvest Finance最终是否能追踪到黑客及用户补偿计划。今晚我们来看看黑客是怎么攻破Harvest Finance的。
整个攻击过程持续了7分钟,简要此攻击过程如下:
1. 黑客通过Tornado.cash转入 20ETH 作为后续攻击手续费
2. 黑客通过UniswapV2闪电贷借出巨额 USDC 与 USDT
3. 黑客先通过Curve的 exchange_underlying 函数将 USDT 换成 USDC,此时 Curve yUSDC 池中的 investedUnderlyingBalance 将相对应的变小
4.随后黑客通过Harvest的 deposit 将巨额 USDC 充值进 Vault 中,充值的同时Harvest 的 Vault 将铸出 fUSDC,而铸出的数量计算方式如下:
amount.mul(totalSupply).div(underlyingBalanceWithInvestment);
计算方式中的underlyingBalanceWithInvestment一部分取的是 Curve 中的 investedUnderlyingBalance 值,由于 Curve 中 investedUnderlyingBalance 的变化将导致 Vault 铸出更多的 fUSDC
5.之后再通过 Curve 把 USDC 换成 USDT 将失衡的价格拉回正常
6.最后只需要把 fUSDC 归还给 Vault 即可获得比充值时更多的 USDC
7.随后黑客开始重复此过程持续获利
受此次安全事件影响,Harvest平台代币FARM币价暴跌50%,截至发稿达112美金。
未来对于Harvest Finance我想应该从一下几方面着手:
[if !supportLists]1. [endif]实施存款承诺与披露机制
[if !supportLists]2. [endif]加强对策略中的现有存款套利检查配置
[if !supportLists]3. [endif]基础资产提现
[if !supportLists]4. [endif]使用预言机来决定资产价格
网友评论