10月26日消息,鎖定資金量超10億美元的DeFi項目HarvestFinance被曝遭黑客攻擊,據稱已造成大約2400萬美元的損失,很多參與者自稱損失了15%以上的資金,受此消息影響,Harvest的治理代幣FARM一度暴跌70%以上。
而Harvest項目方則發布推文解釋稱:
“這次攻擊和其他套利經濟攻擊一樣,緣于一筆大額的閃電貸,攻擊者多次操縱curvey池以提取fUSDT和fUSDC資金,隨后將資金轉換成renBTC,并退出為BTC。”此外,Harvest項目方還表示:
“我們正致力于減輕對穩定幣和BTC池的攻擊,一旦有更多細節可用,我們將會進行實時更新。”而據DeFi之道提供的最新消息顯示,黑客以USDT和USDC的形式歸還了大約247.8萬美元的資金,約占到被盜資金量的10%,而Harvest項目方則表示隨后會將這些資金歸還給受影響的用戶。?
DeFi社區炸鍋,知名KOL提醒用戶應撤離Harvest
目前,關于這次Harvest攻擊的信息依舊非常有限,而DeFi社區的知名參與者則發出提醒稱,Harvest用戶應盡快將其資金從該項目的合約中提取出來。
EOS基金會CEO:未來幾周將宣布約540萬美元的首輪ENV投資:6月18日消息,EOS Network基金會首席執行官Yves La Rose發推稱,EOS Network Ventures(ENV)此前承諾向EOS EVM與GameFi項目投資2000萬美元,未來幾周內將宣布約540萬美元的首輪ENV投資。[2023/6/18 21:44:59]
截至發稿時,Harvest合約鎖定的資金已驟降至5.9億美元,較24小時之前下滑42.41%。
而在這次攻擊發生的前一天,DeFi觀察者ChrisBlec則揭示了Harvest項目所存在的巨大風險,其提到稱,Harvest項目合約所鎖定的10多億美元資金,完全受匿名開發者的控制,并且開發團隊存在刻意隱瞞這一事實的嫌疑。
以下是譯文內容:
DeFi的發展太快,要跟上它的節奏實在太難,即使是我也是如此。
但這并不意味著我們無法保證安全,并且我們不必成為開發者就可以做到這一點。
在這篇文章中,我將分享自己發現HarvestFinance存在高危管理密鑰風險的步驟,而這一事實危及到了用戶的資金。
Bitfinex首席技術官:閃電網絡非常適合緩解比特幣網絡的擁堵問題:金色財經報道,Bitfinex首席技術官兼非官方發言人Paolo Ardoino表示:“閃電網絡非常適合緩解比特幣網絡的擁堵問題。在 Bitfinex,我們在過去 30 天內看到了 11,000 筆交易,我預計這一數字只會增長。我們需要更多的交易所和更多的交易所用戶來推動閃電網絡,以便從更快的速度和更低的成本中獲益。Blockstream 的 Liquid 網絡也是一個很好的輔助層,可以在BTC主網擁塞的情況下提供幫助。”[2023/5/10 14:53:57]
就在昨天,當我查看DeFiPulse,并看到排行榜中排名第四的項目HarvestFinance時,其鎖定的資金量已超過了10億美元,但我發現自己對這個項目并不了解。
我第一次聽說HarvestFinance,是他們為許多GitcoinGrants參與者捐款50,000美元,當時其宣布這一消息時,我確實有關注到它。
兩天前,我突然注意到一條關于Harvest鎖定資金量突破10億美元的推文。
看到這一點,我記下了要檢查的內容。Harvest是目前市場上眾多的收益農耕項目之一,我還沒有時間去研究每一個,但是突破10億美元的項目,無疑會讓我產生興趣。
彭博社:幣安在2020年及2021年沒有遵循BUSD儲備程序:金色財經報道,據彭博社報道,幣安承認其與幣安掛鉤的穩定幣并不總是得到儲備的充分支持,但表示現在已經解決了這個問題。彭博社援引區塊鏈分析公司 ChainArgos 的 Jonathan Reiter 的分析報告稱,該代幣在 2020 年和 2021 年存在抵押不足的問題。該發言人指出,用戶贖回從未受到該問題的影響,但沒有詳細說明與幣安掛鉤的 BUSD 抵押不足多長時間,也沒有詳細說明幣安何時發現并修復了該問題。
根據該報告,與幣安掛鉤的 BUSD 穩定幣與 Paxos 發行的 BUSD 的價值相關聯,并被創建為具有可以在以太坊以外的區塊鏈上運行的 BUSD 版本。它由 BUSD 的鎖定儲備以 1:1 的比例支持。穩定幣的彈性以及它們是否有可靠的資金支持在加密貨幣行業是一個有爭議的問題。穩定幣旨在密切跟蹤其他東西的價值,通常是美元。因此,如果投資者將 100 億美元投入穩定幣,理論上應該有 100 億美元用于支持它。最大的穩定幣,Tether 的 USDT,多年來一直擔心它沒有得到充分支持。2021 年,在紐約州發現其謊稱其穩定幣完全由美元 1 比 1 支持后,Tether被迫支付 1850 萬美元的罰款。[2023/1/11 11:05:06]
我的第一站就是看他們的網站,找到它并不難,他們的官方Twitter介紹里就有鏈接。
美國SEC指控四人參與一項欺詐性加密資產金字塔計劃:金色財經報道,美國SEC指控四人參與一項欺詐性加密資產金字塔計劃,該計劃從數百名散戶投資者那里籌集了超過840萬美元,這些散戶投資者主要來自美國各地的西班牙語社區。[2022/12/21 21:59:25]
這是一個典型的收益農耕用戶界面,在點擊了一段時間后,我發現他們接受了多個代幣存款,包括UniswapLP代幣,我開始想知道,這個項目的去中心化程度到底有多高。
這一部分實際上非常重要,因為很少有DeFi用戶會這么干。任何時候,當一個智能合約接受存款時,你首先要問的問題是“這個產品的去中心化程度如何?資金是如何被持有的?有管理密鑰嗎?如果有的話,它能夠做什么?”
一旦這些問題出現在你的腦海中,那你就需要在存款之前得到答案。如果你在沒有答案的情況下就存款,那你就是在賭博。
我開始點擊他們的FAQ和Wiki標簽,直到找到一些線索。首先,我看到Harvest的“技術資料”里提到了時間鎖。
如你所見,在“技術資料”中沒有提及關于管理密鑰的其他內容。
什么是時間鎖?它是一種智能合約,它為以太坊管理密鑰調用的任何交易添加延遲,從而讓用戶有時間檢查交易,并及時取出自己的資金。
外媒:SBF出售4000萬美元房產系假新聞:11月20日消息,此前傳出FTX創始人SBF掛牌出售其價值4000萬美元的巴哈馬頂層豪華公寓,經求證,相關消息系新聞。由最早發布該消息的加密KO L Autism Capital分享的相關房產銷售鏈接已經失效。與該房產有關的Seaside Bahamas房地產經紀人暫時尚未回應置評請求,但該公司工作人員Alvan Rolle否認與FTX有過接觸并表示:我們沒有掛牌SBF的房產,并且從來沒這么做過,這個消息后來引起了關注,但我們甚至都不知道有掛牌SBF房產這件事。(FoxBusiness)[2022/11/20 22:09:31]
也就是說,如果沒有某種密鑰,那就根本用不到時間鎖。
所以當我看到時間鎖這個詞,而技術資料中沒有提及管理密鑰或它能夠做什么時,我知道我必須更深入地調查這個項目。
在他們的Wiki頁面上,我發現了一個名為“HarvestSecurity”的鏈接。通常,當你在DeFi產品網站上看到一個叫做“Security”的頁面時,你一定會找到一些審計報告。而我確實也看到了。
HarvestFinance在其網站上提供了兩份審計報告,這兩項審計都是在9月份完成的,分別由知名的安全公司Peckshield和HaechiLabs所提供。
首先,我點擊Peckshield審計的鏈接,然后我看到的是這個:
顯然,這不是什么好事。
我只花了3秒鐘就注意到URL是不正確的,以及“https://github.com…”之前的所有內容都應被刪除。
在繼續之前,讓我問你,作為一名非開發人員,你會在這里停下來放棄嗎?還是說,你會花點時間查看URL并嘗試找出問題所在?
我不知道這是否是Harvest團隊無意犯的錯誤,還是其故意阻止他人查看審計報告的一種方式。但是,我確實知道,用戶必須要勤奮地尋找他們需要的信息,以作出明智的決定-即使這些信息被隱藏了起來!
所以,我修改了URL,并得到了Peckshield的實際審計報告:https://github.com/harvest-finance/harvest/blob/master/audits/PeckShield-Harvest.pdf
看起來很嚇人,不是嗎?
好吧,不一定如此,你無需成為開發者即可查看審計報告,并獲得一些非常重要的,有關智能合約系統的線索。
打開審計報告時,我要做的第一件事,就是搜索提及管理密鑰或“治理”的內容。
這很容易就能找到。
讓我們看第42頁的內容,如你所見,Peckshield使用了通俗易懂的英語,其向讀者表明,Harvest項目的治理職責高度中心化且非常不穩定。
“當前由一個EOA賬戶所控制,這引起了社區的必要關注。”簡單說,Harvest項目的資金,完全是由一個單一的以太坊賬戶所控制的,它并不涉及什么DAO,也沒有多重簽名。
在審核結果中,Peckshield給出了一個表,其中所有的資金都是由同一個地址所控制
閱讀審計報告時,請務必記住,項目方通常要為審計公司支付費用,而當你在審計報告中看到類似這種表時,實際上代表審計公司在通知你,該項目實際存在一些非常真實的危險,審計公司希望在不完全激怒客戶的情況下盡可能地誠實。接下來,查看HaechiLabs的審計報告:https://github.com/harvest-finance/harvest/blob/master/audits/Haechi-Harvest.pdf
我再次掃描了目錄,然后看到了這個重要的提醒:
讓我們再仔細看看。
這意味著,這些智能合約中所持有的10億美元資金,開發者可隨時將它們轉移走。
管理密鑰對于DeFi來說并不是什么新現象,而且HarvestFinance并不是唯一使用它的項目。但是,對于一個掌握10億美金巨額資金的項目而言,管理密鑰的存在是令人感到害怕的。
因此,我問自己的下一個問題是:
“是誰擁有這個功能非常強大的管理密鑰?讓我們和那個人談談。”我回到了HarvestFinance網站和他們的Wiki頁面,然后找到了“常見問題”部分內容,這給了我答案。
不,上帝,請不要告訴我,這個掌握著11億美元資金管理密鑰的人竟然是一個匿名開發者。
上帝:對不起,這是事實。
該死的。
這個事實讓我感到震驚,10億美元由一個管理密鑰控制已經夠糟糕了,更糟糕的是,掌握這個密鑰的人是在未知國家/地區的陌生人,這一事實將其推向了另一個新高度。
所以,我要大聲告訴大家:
如你所見,我確實了解到,由于審計報告已經完成,Harvest匿名開發者添加了一個前面所提到的時間鎖,這是一個只有12個小時的時間鎖,它不足以為用戶提供提供安全保護。
在找到此信息之后,合理的下一步是嘗試從HarvestFinance社區和開發者那獲取更多的信息,但情況不是很好,我因為詢問誰持有管理密鑰而遭到語言攻擊。HarvestFinance團隊禁止我加入他們的Discord社區,并在Twitter上將我屏蔽。
現在,我不僅知道HarvestFinance所持有的資金處于非常危險和不安全的境地,而且我也知道他們的匿名開發者對質疑聲持抵制態度,這些對于投資者來說都是不利因素。
這種情況將來會改變嗎?如果有一天該項目的匿名開發者充分地分散了當前的管理密鑰,那么它可能再值得一看。
但在那之前呢?這是一個不可接觸的DeFi產品。
將以上這些步驟應用到你感興趣的每一個DeFi產品上,你將能夠作為一個非開發人員而生存下來,祝你好運!
Tags:VESVESTARVESTWolves of Wall StreetInvest Like Stakeborg Indexmarvin幣怎么買Request Network
前言:隨著DeFi的興起和發展,開放金融保險尤其是DeFi合約保險越來越重要,保險是DeFi拼圖中不可或缺的重要部分.
1900/1/1 0:00:0010月19日至10月25日,比特幣和以太坊鏈上數據周報。 活躍地址數 上周比特幣全網活躍地址數量為679.98萬,環比上升4.99%;而以太坊全網活躍地址數量則為389.66萬,環比下降7.65.
1900/1/1 0:00:00頭條 ▌比特幣鯨魚數量創歷史新高數據顯示,截至10月25日,持有至少1000枚BTC的地址數量達2231個。以當前價格計算,1000BTC約為1300萬美元.
1900/1/1 0:00:00來源|blog.synthetix.io作者|KainWarwickDefi的興起發出了一個清晰的信號:以太坊需要在ETH2.0之前實現擴容.
1900/1/1 0:00:00DeFi爆發的奇點在今年終于出現,烈火燎原下DeFi的總鎖倉量最高達逾151億。在以太坊DeFi推土機式的發展下,高昂的Gas費、較低的交易效率、不同底層的資產存在壁壘等問題也逐步浮出水面.
1900/1/1 0:00:00前言: 時間沒有等你,是誰忘了帶你走,左手過目不忘的是你我,右手里是十年一個漫長的打坐。如果能夠繼續等待,如果時間能夠停下,如果沒有如果?所謂的單邊還在不在,提過的念想還想不想,期待的行情還來不.
1900/1/1 0:00:00