黑客到底是如何操作的?

一文梳理Harvest.finance事件:到底发生了什么?

10 月 26 日,有用户发现 DeFi 挖矿项目 Harvest.finance 疑似遭到黑客攻击。黑客借用闪电贷,获利近2400万美元。随后市场信息纷纷涌出,由于涉及金额巨大,很快引起了国内外加密社区的猜想。律动BlockBeats根据已知信息以及官方回复,将此事件进行一个简单的梳理,帮助用户了解和跟进最新情况。

黑客到底是如何操作的?

律动观察到,黑客对于合约和匿名操作十分熟悉,在开始操作之前似乎还进行试验。黑客使用的初始 ETH 是从以太坊隐私交易平台 Tornado.cash 转出的。操作的 Hash 为:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。
Harvest Finance 官方称,像其他套利经济攻击一样,此次攻击起源于一笔巨额闪电贷。攻击者通过多次操纵 Curve Y 池的价格,以耗尽Harvest 的 fUSDT、fUSDC 池的资金。攻击者随后将资金转换为 renBTC 并套现。像其他闪电贷攻击操作一样,攻击者动作迅速,没有给平台反应的时间,连续 7 分钟端到端地进行攻击。攻击者以 USDT 和 USDC 的形式向开发者退回 2478549.94 美元(律动注:向开发团队打回资产的)。Harvest 表示这笔资金将通过快照按比例分配给受影响的储户。

Harvest Finance 给出的信息似乎与加密交易员们的推测一致。aelf 的创始人马昊伯发表了自己的推测。首先需要了解的是,闪电借贷可以无抵押借到很多钱,不管是有多少滑点的 AMM,都是有滑点的。而且 Curve 的曲线虽然在两个币种之间的滑点比较低,但是到极端情况下还是会有不可控的事件发生。
马昊伯猜测:黑客可能是利用闪电借贷借了一大笔钱,然后把 curve 的价格搞到十分离谱,然后再到 Harvest 按照不合适的价格进行单边充值(亏钱的情况下充值),然后利用 Curve 将钱赎回。这样一来 Harvest 亏了,黑客就赚到了,Curve 也因为这波操作价格产生波动。而 Curve 的所谓亏损其实和 Uniswap 的 LP 亏损一样,是一种无偿损失,价格会很快恢复。」

后续影响

Harvest.finance 的官方推特在 10 月 26 日 12 点 30 分左右表示:「我们正在积极致力于减轻对稳定币池和 BTC 池的攻击问题。经济攻击是通过 Curve Y 池进行的,通过拉高 Curve Y 池流动性,导致收益率暴涨,随后通过 harvest 进行大量存取款操作。
为了保护用户,我们已经把 100% 的稳定币和 BTC Curve 策略基金放到了保险库(Vault)中。同时为了保护用户,Harvest Finance 正在阻止用户向稳定币和 BTC 保险库中充值,现有存款将继续赚取 FARM。」

受此事件影响,不少用户担心资产安全,纷纷提现转账,加上黑客操作及套现行为,根据 Debank 数据显示,去中心化交易平台(DEX)的单日成交量创历史新高,超过 30 亿美元。同时,律动发现,Harvest 和 Curve 的总锁仓量(TVL)开始下降,Curve 24 小时锁仓量下跌 26 %,Harvest 24 小时锁仓量下跌 46%。

用户应该怎么办?

由于黑客一直在通过 RenBTC 进行兑现。截止发稿时,Harvest Finance 官方已宣布通过与 RenProtocol 合作,获取相关 RenBTC 提现地址。并公布了通过 RenProtocol 导出的 BTC 地址,现在正在寻求币安、火币、OKEx 和 Coinbase 等交易平台的帮助,希望可以冻结相关地址。
那么在事件并未完全清晰的情况下,用户应该如何操作?对此,神鱼在内的多个业内人士建议用户先将资金提出,以确保资金安全。另外官方此前已建议用户暂停向稳定币池以及 BTC 保险池进行充值。

网友总结了黑客的这一系列操作,都对那些平台或个人产生了收入。目前来看黑客获利 2400 万美元左右;通过 Uniswap 进行套现,Uniswap LP 收入 600 万美元;黑客向 Harvest 的开发者返还了 247 万余美元(律动注:团队表示这笔资金将按比例分配给受影响的用户);通过 Curve 的流动性池完成的这一波套利操作,因此 Curve LP 大约可获得 100 万美元收入;调用合约、转账等产生的 ETH Gas 手续费 10 万美元;最后通过 RenBTC 兑现,RenVM 手续费 2 万美元。

目前 Harvest Finance 官方仍在对此事进行调查。Harvest 团队表示,除了套现的 BTC 地址外,社区中流传着大量关于攻击者的信息,将悬赏 10 万美元寻找攻击者。此次悬赏仅仅是出于对平台用户资金的考虑,希望攻击者能将资金打回开发者地址,团队尊敬攻击者的技巧和聪明才智,不会对攻击者有其他方面的干扰。

24小时热点

热点专题

NFT艺术品到底是什么?

Beeple,“EVERYDAYS: THE FIRST 5 ...

2320904

Opera House

了解CHIA这篇就够了

这些清单旨在作为信息来源和研究的出发点,为你的研究提供常识性 ...

636559

Kusama 测试网

什么是 Infura?

11 月 11 日,因以太坊和 IPFS 的 API 服务供 ...

626973

IDG资本

OpenSea 为例子教大家如何购买 NFT

就如同流动性挖矿刚起步时候一样,大多数用户并不了解 NFT ...

609663

CryptoSpells

绿地集团数字化战略的NFT形象——8302款无聊猿!

30年前,绿地还是一家注册资本2000万元的小型绿化公司,历 ...

493829

Bybit

什么是私钥?

私钥是怎么来的,它跟你的密码学货币资产有何关联。

486042

芝麻开门交易所

2024年模因币牛巿SHIB是否能达到1美元?市场另外3个meme币也在热卖

SHIB是仅次于DOGE的第二大流行模因币,它能否达到1美元 ...

476086

Business2Community

数字人直播软件多少钱

数字人直播软件根据您使用的平台、功能范围不同,价格也不尽相同 ...

459247

MXC交易所

被朋友骗去弄数字货币

  有一次,一个朋友突然给我说他有一种可以赚钱的新方法,他说 ...

449990

DigiFinex

链圈百科:环境影响评价信用平台

环境影响评价信用平台是指一种使用信用技术来评估环境影响并对社 ...

417532

Tokhun