Harvest Finance攻擊事件全復盤：如何用20個ETH的成本撬動3000萬美元收益？_USD

作者：秦曉峰

來源：Odaily星球日報

今天上午，DeFi聚合協議HarvestFinance針對昨天閃電貸攻擊發布聲明。

根據公告，本次攻擊損失共計3380萬美元，約占攻擊發生前協議中鎖倉總價值的3.2％；攻擊者退回的247萬多美元，將根據快照按比例分配給受影響的儲戶；未來HarvestFinance將對存款實行“提交-披露”機制，減少閃電貸攻擊，使用預言機來確定資產價格，并提高存款arb配置(當前閾值設置為3%）。

昨天上午10點，推特用戶爆料稱，攻擊者通過閃電貸依靠20ETH的成本在Curve協議y池進行套利獲得無常損失，而Curve.fiY池正是Harvest金庫投資的地方。攻擊者隨后將資金轉換為renBTC并套現，Harvest也因此損失數百萬美元，不少參與者稱損失了15%～20%以上的資金。

受此影響，HarvestFinance治理代幣FARM價格從237美元一度暴跌至78美元，最大跌幅接近70%；截至今天發稿，FARM價格回升至110美元左右；Harvest協議鎖倉量，也從11.1億美元量已驟降至4.5億美元，最大跌幅60%。

不過，Curve協議卻并未受到影響，其治理代幣CRV價格在過去24小時不斷攀升，一度升至0.44USDT，最大漲幅接近30%。

HorizonHarbor Capital與元本空間達成合作意向:據官方消息，國內數藏平臺元本空間與投資機構HorizonHarbor Capital達成合作意向，雙方將聯合推動區塊鏈技術與Web3變革的創新發展，共同打造新一代數字居民的“紅學元宇宙”。

據官方表示，近日，元本空間首發大觀園系列藏品《紅樓夢中夢紅樓》一經發售，即刻告罄，首發價格為99元，然而由于市場強烈需求，僅24小時內最高成交價已上漲至600元。[2023/8/2 16:14:04]

事件回顧：閃電貸套利

HarvestFinance，是一個DeFi收益聚合器，其主要功能是向其它DeFi池提供流動性來為自己的流動性提供者賺取收益。在攻擊發生前，HarvestFinance主要在Curve協議y池提供流動性。

攻擊者是如何實現攻擊，完成套利的？

先為大家捋一下本次攻擊的邏輯，簡單來說分三步，即「借貸-正向操作價格-逆向操縱價格」：

攻擊者通過閃電貸借出大量USDT以及USDC；

在Y池將大量USDT兌換成USDC，導致USDC價格升高；由于Harvest池內USDC價格參考Y池，也跟著上漲；此時再用USDC在?Harvest池兌換更多的fUSDC；

在Y池對上述過程逆向操作，將大量USDC兌換成USDT，導致USDC價格降低；此時?Harvest池內USDC價格也跟著下降；再用fUSDC可以兌換出比原來更多的USDC，完成套利。

CoinShares：上周歐洲加密投資產品流出5900萬美元:3月2日消息，根據機構加密基金公司 CoinShares 最新報告顯示，上周歐洲市場的加密投資資產流出 5900 萬美元，而美洲（主要是加拿大和巴西）市場流入資金規模達到 9500 萬美元，因此總體而言上周加密投資產品整體呈現出資金流入狀態。

值得一提的是，上周有 1700 萬美元資金流入比特幣投資產品，這也是比特幣投資產品連續第 5 周呈現資金流入狀態，目前比特幣投資產品的總資金流入量已經達到 2.39 億美元。此外，上周區塊鏈股票基金流入總計 800 萬美元資金，多資產投資產品資金流入量為 1400 萬美元。

在非主流數字貨幣方面，Solana 投資產品資金流出量為 260 萬美元，萊特幣投資產品資金流出量為 50 萬美元，Cardano、Ripple、Polkadot 和 Binance 投資產品均出現小幅流出——分別為 30 萬美元、20 萬美元、10 萬美元和 10 萬美元。[2022/3/3 13:33:27]

當然，為了使得鏈上交易能在極短的時間內進行，因此每筆交易都給足了手續費。

HarvestFinance公告介紹了完整的攻擊鏈條：

通過以太坊匿名轉賬平臺Tornado.cash轉入20ETH作為后續攻擊手續費，攻擊者錢包地址是0xf224ab004461540778a914ea397c589b677e27b，并部署了一個攻擊合約0xc6028a9fa486f52efd2b95b949ac630d287ce0af。

加密資管公司CoinShares發布2021年第一季度財務業績:5月24日消息，全球第二大加密資管公司CoinShares發布2021年第一季度財務業績：由于其數字資產產品和服務套件的需求持續增長，第一季度的業績超過了2020年全年的業績。該公司報告稱，2021年第一季度的總管理費為1,710萬英鎊，而2020年同期為320萬英鎊，增加了1,390萬英鎊。同比增長主要是由于可比期間數字資產的價格大幅上漲所致。與截至2020年12月31日的第四季度相比，總管理費用也環比增加了1,000萬英鎊。CoinShares Capital Markets在2021年第一季度產生的交易收益為2270萬英鎊，而截至2020年3月31日的期間為560萬英鎊，增加了1,710萬英鎊。與上年同期相比的增長主要是由與公司自有產品以及其他產品和平臺的非定向自營交易，固定收益活動以及流動性撥備相關的收益推動的。

此外，與截至2020年12月31日的第四季度相比，總交易收益比上一季度增加了1,760萬英鎊。事實上，2021年第一季度的交易收益比2020年全年的總收益高出640萬英鎊或39％。 （globenewswire）[2021/5/24 22:38:07]

通過UniswapV2閃電貸借出巨額USDT與USDC，注入攻擊合約中；

該合約在Curve協議Y池內通過互換協議將17222012.640506USDT兌換成了USDC。互換的影響是，由于其它資產發生了無常損失，Y池內的USDC價值升高，獲得了?17216703.208672USDC；此時，攻擊者加上之前閃電貸款的本金，攻擊持有約6721萬USDC、108.65萬的USDT。

動態 | 富達慈善機構Fidelity Charitable將XRP列入其接受的加密貨幣捐贈列表:據The block消息，金融服務巨頭富達的慈善機構Fidelity Charitable現正接受世界第三大加密貨幣XRP捐款。在這之前，該部門只接受四種加密貨幣捐贈，即比特幣（BTC），比特幣現金（BCH），以太幣（ETH）和萊特幣（LTC）。據之前報道，自推出以來Fidelity Charitable已收到超過1.06億美元的加密貨幣。該慈善組織進一步表示，加密貨幣和房地產等非公開交易資產可幫助捐助者節省20％的資本所得稅。[2019/8/19]

攻擊者將49,977,468.555526USDC存入Harvest的USDC金庫，按照單價fUSDC/USDC=0.97126080216，兌換了51,456,280.788906fUSDC。攻擊前單價為0.980007，現在單價0.9712環比下降大約1%，并沒有觸發Harvest套利策略設置的3%紅線，因此交易有效且成功進行，沒有被強制恢復。

攻擊者通過y池，將剩余的17239234.653146USDC兌換回17,230,747.185604?USDT；由于無常損失效應的恢復，此時Y池中USDC價值下降，攻擊者獲得17,230,747.185604?USDT。

攻擊者從Harvest的USDC金庫中提幣，由于此時Y池內的USDC價值下降，fUSDC/USDC單價升高至0.98329837664，攻擊者將此前全部的fUSDC的股份交換回了50596877.367825USDC。并且，USDC完全由Harvest的USDC金庫支付，完全不與Y池交互，也就不會影響Y池內USDC價格。

動態 | SharkPool大量開采Altcoin 只為換取比特幣現金:SharkPool一直在大量開采Altcoin，只是為了換取比特幣現金。這一奇怪的舉動一直是加密貨幣界熱烈討論的話題。根據SharkPool的說法，Altcoin沒有價值，因此，他們應該被拋棄。SharkPool開采Altcoin，然后所有收益都將用于購買比特幣現金。批評人士認為，這種做法可能會損害比特幣現金的聲譽。[2018/11/14]

經過這么一次套利，攻擊者的凈利潤為619408.812299?USDC。而后，攻擊者同一筆交易中重復了幾次該過程。

在4分鐘內，攻擊者針對USDC金庫執行了17筆攻擊交易后，而后有用類似的方式對USDT金庫發起攻擊，并在3分鐘內完成了13筆攻擊交易。

北京時間10月26日11:01:48，攻擊者將13,000,000USDC和11,000,000USDT從攻擊合約中轉移至地址0x3811765a53c3188c24d412daec3f60faad5f119b。

事件曝光后，攻擊者向Harvest返還了部分資金，共計1761898.396474USDC和718,914.048541USDT。

攻擊發生后，不少人在Harvest推特下留言稱，損失了15%-20%的資金。眾多KOL也建議用戶先將資金從Harvest提出，以確保資金安全。

根據Harvest統計，用戶損失情況不容樂觀：USDC金庫單價從0.980007跌至0.834953，USDT金庫單價從0.978874跌至0.844812，跌幅分別為13.8％和13.7％；總計損失的價值約為3380萬美元，約占攻擊發生前協議中鎖倉總價值的3.2％。

官方態度：補救之外，攻擊者還錢就行

事故發生后，Harvest團隊發文表示，為了保護用戶，已經采取措施阻止向穩定幣和BTC金庫存款，現有存款將繼續賺取FARM。

根據今天上午公告，Harvest已經從共享池中撤出所有資金，包括DAI、USDC、USDT、TUSD以及WBTC和renBTC。這些資金目前存放在金庫中，不會受到進一步的市場操縱。另外，這次攻擊沒有涉及到DAI、TUSD、WBTC和renBTC，這些金庫的儲戶沒有受到影響。

另外，關于用戶補償方面，Harvest表示，攻擊者退回的247萬多美元，將通過快照按比例分配給受影響的儲戶,其他補救方法將在治理中進行分析和表決。

此次事故，也暴露了Harvest系統機制所存在的弊病。

慢霧安全團隊分析認為，此次攻擊主要是fToken在鑄幣時采用的是Curvey池中的報價，導致攻擊者可以通過巨額兌換操控預言機的價格來控制fToken的鑄幣數量。

針對報價問題，Harvest下一步將使用預言機來確定資產價格。

“雖然一個近似的資產價格可有效地從外部預言機中確定，但是它與實際價格的聯系非常松散。如果底層DeFi協議內的資產價值與預言機報價不同，金庫將面臨自由套利和閃電貸攻擊。這不是Harvest的解決方案，但是，在系統設計和可能的緩解策略中，我們將考慮使用預言機。”

并且，未來HarvestFinance將對存款實行“提交-披露”機制，減少閃電貸攻擊，提高存款arb配置(當前閾值設置為3%）。此外，HarvestFinance原定于10月27日發布的智能合約改進計劃也將被推遲，以便在攻擊背景下再次評估其安全性。

對于攻擊者，HarvestFinance公布了相關涉案地址，并發文表示，“除了持有被盜資金的BTC地址，我們現在還獲取了大量關于攻擊者的個人身份信息，他在加密社區頗為有名。”

不過，HarvestFinance似乎無意追查攻擊者的身份信息。

“我們對公開攻擊者個人信息不感興趣，我們尊重你的技術和獨創性，只要你把錢返還給用戶。攻擊者已經證明了他們的觀點。如果他們能把這筆錢返還給用戶，將會受到社會各界的高度贊賞，將資金返還給受影響的用戶是重點。”

在公告中，HarvestFinance表示：

我們向第一個幫助我們找回資金的個人或團隊提供10萬美元的賞金。

如果是在接下來的36小時內完成退還，則賞金為40萬美元。請不要在這個過程中人肉搜索攻擊者，我們強烈建議將所有努力集中在確保用戶資金成功返還給部署人員上。

由于攻擊者一直在通過RenBTC進行變現。截止發稿時，HarvestFinance官方已宣布通過與RenProtocol合作，獲取相關RenBTC提現地址，并公布了通過RenProtocol導出的BTC地址，現在正在尋求幣安、火幣、OKEx和Coinbase等交易平臺的幫助，希望可以凍結相關地址。

深陷負面輿論的HarvestFinance

由于HarvestFinance對待攻擊者態度較為「曖昧」，不少聲音認為官方監守自盜，上演了一出賊喊捉賊的大戲。

加密KOL@Bitcoin發出質疑：

事實上沒什么事能比直接搶用戶本金更賺錢，FARM總市值就2500萬，項目方20%的幣，即便所有幣賣完也就賺500萬，賺千把萬是極限了，而搞這么一出收益幾千萬。結合項目方對這件事的處理方案，我覺得確實不小的概率項目方監守自盜，所以他們肯定不會把自己搞來的錢在拿去填這個坑；

黑客冒著風險，只盜取了幾千萬美元卻沒有直接把上億的池子全部榨干，明顯是不想讓項目死掉，和團隊的利益是一致的；

有投資者在推上問能不能拿部分團隊的幣來補償受害者，Harvest回答資金數額太大了，自己不能承擔。事實上大家都清楚賠不賠和能不能賠得起是兩回事，這個團隊壓根不想賠；

據投資者稱，此前社區里的投資者不斷地在反應fusd被套利凈值不斷下跌的情況，但團隊一個多月面對這情況始終視而不見，任由“黑客”套利。

這并不是HarvestFinance第一次深陷輿論危機。

就在套利攻擊前兩天，DeFi觀察者?ChrisBlec?就揭示了風險：該項目合約鎖定的10多億美元資金完全受匿名開發者的控制，并且開發團隊存在刻意隱瞞這一事實的嫌疑。

CoinTelegraph?援引安全團隊Haechi審計報告報告稱，HarvestFinance擁有一個管理密鑰，可讓持有者隨意鑄造代幣并竊取用戶的資金，該管理密鑰可能由該項目背后的匿名開發者持有。

幣印潘志彪表示，Harvest沒有進入幣印DeFi理財，最大的原因就是沒有通過幣印的風控，他們理論上甚至可以挪用客戶資金，因為缺乏必要的Timelock、多簽管理等保護措施，他們為提高資金使用效率，采用快速生效策略機制，但極大犧牲了安全性。

作為對外界質疑的回應，HarvestFinance在合約中引入了一個12小時的時間鎖功能，但依然未能打消用戶質疑。

經歷了此次攻擊風波，HarvestFinance鏈上鎖倉量也從11.1億美元量已驟降至4.5億美元，最大跌幅60%。

未來，HarvestFinance將如何發展，Odaily星球日報也將持續關注。

Tags：USDARVVESTVESwstUSDTArvo FinancebZx Vesting TokenDives Defi

歐易交易所app下載