一文梳理 Harvest Finance 閃電貸安全事件

Harvest Finance 此次遭受閃電貸攻擊主要是由於 fToken 在鑄幣時採用 Curve y 池中的報價,攻擊者可以通過鉅額兌換操控預言機價格來控制 fToken 的鑄幣數量,從而獲利。

撰文:阿得

10 月 26 日中午 12 時左右,DeFi 熱門項目 Harvest Finance 被曝遭黑客攻擊。據推特網友發現,疑似有黑客借用閃電貸,使用 20 ETH 從 Harvest Finance 中套現超 400 萬美元。

消息擴散後,Harvest Finance 項目的 FARM 代幣價格在短時間內下跌近 60%,同時 Harvest Finance 和 Curve 的鎖倉量大幅減少。截至目前,Curve 鎖倉量爲 8.53 億美元,較昨天減少 25.92%;Harvest Finance 鎖倉量爲 5.85 億美元,較昨天減少 47.27%

鏈聞對相關信息進行梳理,簡析 Harvest Finance 本次安全事件的要點。

到底發生了什麼?

據慢霧安全團隊分析,Harvest Finance 項目此次遭受閃電貸攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT…) 在鑄幣時採用的是 Curve y 池中的報價 (即使用 Curve 作爲喂價來源),導致攻擊者可以通過鉅額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量,從而使攻擊者有利可圖。

  1. 攻擊者通過 Tornado.cash 轉入 20ETH 作爲後續攻擊手續費;
  2. 攻擊者通過 UniswapV2 閃電貸借出鉅額 USDC 與 USDT;
  3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC,此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小;
  4. 隨後攻擊者通過 Harvest 的 deposit 將鉅額 USDC 充值進 Vault 中,充值的同時 Harvest 的 Vault 將鑄出 fUSDC。而鑄出的數量計算方式如下:amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());
    計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值,由於 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC。
  5. 之後再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常;
  6. 最後只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC;
  7. 隨後攻擊者開始重複此過程持續獲利。

其他攻擊流程與上訴分析過程類似
參考交易哈希:
0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877

一文梳理 Harvest Finance 閃電貸安全事件

安全事件發生後,Harvest Finance 初步調查後更新推特表示:

就像其他套利經濟攻擊,本次攻擊源於一筆鉅額閃電貸。攻擊者多次操縱一個資金池(Curve y Pool)的價格,以耗盡另一個資金池(fUSDT、fUSDC)裏的資金,隨後再將資金轉換爲 renBTC 並套現。

一文梳理 Harvest Finance 閃電貸安全事件

此外,Harvest Finance 官方還表示:

此次攻擊是通過 Curve y 池進行。爲了保護用戶,Harvest Finance 已經將 y 池和 BTC Curve 策略資金存入 Vault 中。目前爲止,所有穩定幣和 BTC 資金都在 Vault 中(已不在策略中部署)。其他池不受影響。

Harvest Finance 還通過與 RenProtocol 合作,並相關的 10 個 BTC 地址,希望幣安、火幣、OKEx 和 Coinbase 等交易平臺對其進行凍結。其進一步稱:

除了持有被盜資金的 BTC 地址,我們現在還掌握了大量關於攻擊者的個人身份信息。他在加密社區頗爲有名。

後續影響

由於本次安全事件涉及的金額較大,且影響較廣,再次引發市場對 DeFi 項目安全性的擔憂。Cobo 聯合創始人神魚在微博表示,理論上凡是 Harvest 上的穩定幣和 BTC 挖 CRV 的單幣都有這個風險,大家抓緊提現。

一文梳理 Harvest Finance 閃電貸安全事件

在市場恐慌蔓延的情況下,Debank 數據顯示,DeFi 市場總鎖倉價值(TVL)從 10 月 25 日的 149.98 億美元下降至今日 138.90 億美元。在鎖倉量排名前十的項目中,已有 Harvest、Curve、YFI、Aave 四個項目下跌比例超過 10%。其中 Harvest 從 11.19 億美元的鎖倉量下跌至 5.85 億美元。

一文梳理 Harvest Finance 閃電貸安全事件

鎖倉量的大幅下降卻帶動了 Uniswap 等去中心化交易所的交易量。據 Uniswap 官網顯示,Uniswap 的交易量今日突現猛增態勢,從昨天的 1.48 億美元增長到 21.1 億美元,24 小時增長 1267.91%。

一文梳理 Harvest Finance 閃電貸安全事件

The Block 研究總監 Larry Cermak 對此發推稱,這其中約 92%的交易量來自 USDT/ETH 交易對(48.3%)和 USDC/ETH 交易對(43.4%)。他們爲 Uniswap 的 LP 產生了 576 萬美元的費用。

據 DeFi 發燒友 jiecut 總結的數據顯示,在本次安全事件中,黑客在鏈上的操作爲部分平臺帶來了比較可觀的收入。其中 Uniswap 的 LP 收入近 600 萬美元;Curve LP 大約可獲得 100 萬美元;ETH Gas 費達 10 萬美元;RenVM 的手續費爲 2 萬美元。

一文梳理 Harvest Finance 閃電貸安全事件

據官方消息,目前攻擊者已通過 USDT 和 USDC 的形式退回開發者 247.9 萬 美元,這筆資金將通過快照按比例分配給資金受損的存款人。Harvest Finance 持續發推希望黑客歸還被盜資金,並懸賞 10 萬美金獎勵首位成功和攻擊者取得聯繫並幫助返還用戶資金的個人或團隊。

安全端倪早已顯現

在攻擊發生前,DeFi 分析師 Chris Blec 揭露了 Harvest Finance 存在的巨大風險。其指出,Harvest Finance 擁有一個管理密鑰,可讓持有者隨意鑄造代幣並竊取用戶的資金。正如該項目的審計公司 PeckShield 和 Haechi 所指出的那樣,其治理參數不是由具有明確定義規則的合約來設置的。該管理密鑰可能由該項目背後的匿名開發者持有。持有人可鑄造無限數量的代幣,並消耗代幣的 Uniswap 池中的資金。

同時,Chris Blec 還表示,項目方或許有在試圖向用戶隱藏其審計報道。因爲他發現:

Peckshield 和 Haechi Labs 審計報告鏈接的 URL 都是不正確的,以及“https://github.com…” 之前的所有內容都應被刪除。

一文梳理 Harvest Finance 閃電貸安全事件
一文梳理 Harvest Finance 閃電貸安全事件

而在 Chris Blec 發現問題並試圖聯繫 Harvest Finance 社區和開發者,以詢問管理密鑰的歸屬時,其還遭受到言語攻擊,並被禁止加入 Harvest Finance 的 Discord 社區,在 Twitter 上被拉黑。

一文梳理 Harvest Finance 閃電貸安全事件

最新進展

在最新的推特中,官方表示將在接下來的 16 小時內發佈事後報告,並針對未來的危機應對策略制定工作,包括評估保險方案以及賠償策略。截止發稿前,Harvest 代幣 FARM 暫報 101.35 美元,24 小時跌幅達 56.7%。

本文不構成投資建議,虛擬貨幣波動大請謹慎小心

掌握虛擬貨幣、區塊鏈大小事

一文梳理 Harvest Finance 閃電貸安全事件 一文梳理 Harvest Finance 閃電貸安全事件

發表迴響