一文梳理 Harvest Finance 闪电贷平安事宜_数字货币

[2021-02-10 10:13:39] 来源：编辑：wangjia 点击量：

评论 点击收藏

导读： 9月数字资产项目报告，这些企业值得关注本报告将向大家介绍2020年9月数字资产界周评明星企业及其当选理由。 Harvest Finance 此次遭遇闪电贷进击主如果由于 fToken 在铸币时采纳

9月数字资产项目报告，这些企业值得关注

本报告将向大家介绍2020年9月数字资产界周评明星企业及其当选理由。

Harvest Finance 此次遭遇闪电贷进击主如果由于 fToken 在铸币时采纳 Curve y 池中的报价，进击者能够经由历程巨额兑换操控预言机价钱来控制 fToken 的铸币数目，从而赢利。

撰文：阿得

10 月 26 日正午 12 时摆布，DeFi 热点项目 Harvest Finance 被曝遭黑客进击。据推特网友发明，疑似有黑客借用闪电贷，运用 20 ETH 从 Harvest Finance 中套现超 400 万美圆。

音讯散布后，Harvest Finance 项目标 FARM 代币价钱在短时间内下跌近 60%，同时 Harvest Finance 和 Curve 的锁仓量大幅削减。停止如今，Curve 锁仓量为 8.53 亿美圆，较昨天削减 25.92%；Harvest Finance 锁仓量为 5.85 亿美圆，较昨天削减 47.27%。

链闻对相干信息举行梳理，简析 Harvest Finance 本次平安事宜的要点。

究竟发生了什么？

据慢雾平安团队剖析，Harvest Finance 项目此次遭遇闪电贷进击主如果 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在铸币时采纳的是 Curve y 池中的报价 (即运用 Curve 作为喂价泉源)，致使进击者能够经由历程巨额兑换操控预言机的价钱来控制 Harvest Finance 中 fToken 的铸币数目，从而使进击者有利可图。

进击者经由历程 Tornado.cash 转入 20ETH 作为后续进击手续费；进击者经由历程 UniswapV2 闪电贷借出巨额 USDC 与 USDT；进击者先经由历程 Curve 的 exchange_underlying 函数将 USDT 换成 USDC，此时 Curve yUSDC 池中的 investedUnderlyingBalance 将相对应的变小；随后进击者经由历程 Harvest 的 deposit 将巨额 USDC 充值进 Vault 中，充值的同时 Harvest 的 Vault 将铸出 fUSDC。而铸出的数目盘算体式格局以下：amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());
盘算体式格局中的 underlyingBalanceWithInvestment 一部份取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的变化将致使 Vault 铸出更多的 fUSDC。以后再经由历程 Curve 把 USDC 换成 USDT 将失衡的价钱拉回一般；末了只需要把 fUSDC 送还给 Vault 即可取得比充值时更多的 USDC；随后进击者入手下手反复此历程延续赢利。

其他进击流程与上诉剖析历程相似
参考生意业务哈希：
0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877

平安事宜发生后，Harvest Finance 开端观察后更新推特示意：

就像其他套利经济进击，本次进击源于一笔巨额闪电贷。进击者屡次支配一个资金池（Curve y Pool）的价钱，以耗尽另一个资金池（fUSDT、fUSDC）里的资金，随后再将资金转换为 renBTC 并套现。

另外，Harvest Finance 官方还示意：

此次进击是经由历程 Curve y 池举行。为了庇护用户，Harvest Finance 已将 y 池和 BTC Curve 战略资金存入 Vault 中。如今为止，一切稳固币和 BTC 资金都在 Vault 中（已不在战略中布置）。其他池不受影响。

Harvest Finance 还经由历程与 RenProtocol 协作，并相干的 10 个 BTC 地点，愿望币安、火币、OKEx 和 Coinbase 等生意业务平台对其举行凝结。其进一步称：

除了持有被盗资金的 BTC 地点，我们如今还控制了大批关于进击者的个人身份信息。他在加密社区很是著名。后续影响

由于本次平安事宜触及的金额较大，且影响较广，再次激发市场对 DeFi 项目平安性的担心。Cobo 团结创始人神鱼在微博示意，理论上通常 Harvest 上的稳固币和 BTC 挖 CRV 的单币都有这个风险，人人抓紧提现。

在市场惊愕舒展的情况下，Debank 数据展现，DeFi 市场总锁仓代价（TVL）从 10 月 25 日的 149.98 亿美圆下落至本日 138.90 亿美圆。在锁仓量排名前十的项目中，已有 Harvest、Curve、YFI、Aave 四个项目下跌比例凌驾 10%。个中 Harvest 从 11.19 亿美圆的锁仓量下跌至 5.85 亿美圆。

锁仓量的大幅下落却带动了 Uniswap 等去中间化生意业务所的生意业务量。据 Uniswap 官网展现，Uniswap 的生意业务量本日突现猛增态势，从昨天的 1.48 亿美圆增进到 21.1 亿美圆，24 小时增进 1267.91%。

The Block 研讨总监 Larry Cermak 对此发推称，这个中约 92％的生意业务量来自 USDT/ETH 生意业务对（48.3%）和 USDC/ETH 生意业务对（43.4%）。他们为 Uniswap 的 LP 产生了 576 万美圆的用度。

据 DeFi 发烧友 jiecut 总结的数据展现，在本次平安事宜中，黑客在链上的操作为部份平台带来了比较可观的收入。个中 Uniswap 的 LP 收入近 600 万美圆；Curve LP 约莫可取得 100 万美圆；ETH Gas 费达 10 万美圆；RenVM 的手续费为 2 万美圆。

据官方音讯，如今进击者已由历程 USDT 和 USDC 的情势退回开发者 247.9 万美圆，这笔资金将经由历程快照按比例分配给资金受损的存款人。Harvest Finance 延续发推愿望黑客送还被盗资金，并赏格 10 万美金嘉奖首位胜利和进击者取得联络并协助返还用户资金的个人或团队。

平安端倪早已展现

在进击发生前，DeFi 剖析师 Chris Blec 揭露了 Harvest Finance 存在的庞大风险。其指出，Harvest Finance 具有一个治理密钥，可以让持有者随便锻造代币并盗取用户的资金。正如该项目标审计公司 PeckShield 和 Haechi 所指出的那样，其治理参数不是由具有明白定义划定规矩的合约来设置的。该治理密钥大概由该项目背地的匿名开发者持有。持有人可锻造无穷数目标代币，并斲丧代币的 Uniswap 池中的资金。

同时，Chris Blec 还示意，项目方也许有在试图向用户隐蔽其审计报导。由于他发明：

Peckshield 和 Haechi Labs 审计报告链接的 URL 都是不正确的，以及“https://github.com…” 之前的一切内容都应被删除。