资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Harvest Finance遭遇闪电贷攻击,损失近3400万美元
攻击事件概述
UTC时间周一凌晨,由匿名团队开发的去中心化金融(DeFi)协议Harvest Finance遭到攻击。根据Harvest事后发布的报告显示,攻击者从协议中窃取了3380万美元,随后又向协议返还了250万美元,原因不明。此前报道估计损失约为2400万美元。
协议运作机制
Harvest是一个类似于YFI的收益耕作协议。它从不同的借贷协议中收集收益,并进行优化以实现最大收益,然后将收益返还给存款人。本次攻击者利用大额闪电贷实施了套利攻击。
攻击手法分析
闪电贷是一种无抵押贷款,允许用户从流动性池中即时借入资金,前提是资金必须在一个交易区块内返还。Harvest Finance表示:"攻击者多次操纵Curve Y池的价格,以此耗尽另一个资金池(fUSDT、fUSDC)。随后攻击者将这些资金转换为renBTC并最终转换为比特币。"
简单来说,攻击者通过操纵Curve Y池的价格,得以从Harvest中耗尽Farm USDT(fUSDT)和Farm USDC(fUSDC)代币。renBTC是以太坊网络上使用的一种比特币支持代币。
攻击者身份线索
Harvest提供了攻击者的一些比特币地址,并表示"攻击者拥有大量可识别身份信息,且在加密货币社区中颇有名气"。然而,Harvest表示"无意公开攻击者的身份",反而为第一个联系到攻击者的个人或团队提供了10万美元的赏金。
应对措施
Harvest已要求币安、Coinbase和火币等交易所封锁攻击者的地址。该攻击事件发生前一天,DeFi分析师Chris Blec曾指出Harvest是一个中心化协议,因其管理员持有"可以耗尽资金的管理密钥"。
就本次攻击事件,Blec表示不能排除内部作案的可能性,因为"没有人比匿名开发者更了解智能合约"。他强调:"在这种情况下,聪明的DeFi用户不会假设他们希望发生的事情就是事实。他们会假设最坏的情况已经发生。在这种环境下,对抗性思维是保持安全的唯一方法。"
事件影响
Harvest Finance于8月上线,目前仍有价值5.88亿美元的用户存款锁定在其协议中。根据DeFi Pulse的数据显示,在攻击发生前,该金额超过10亿美元。自攻击发生以来,Harvest的原生代币FARM的价格已暴跌约57%,目前交易价格约为101美元。
后续处理
Harvest随后发布了一篇博客文章,详细说明了其应对措施,包括可能进行的用户体验更改以防止类似攻击再次发生。
首先,为防范基于闪电贷的攻击,团队正在探索一种存款的"提交-揭示"机制,这将使得在同一笔交易中进行存款和取款变得不可能。然而,这种用户体验更改可能会导致更高的gas费用。
目前3%的套利门槛不足以保护金库免受此类攻击,因此团队提议设置更严格的门槛。同时,团队也在探索与基础资产提款相关的解决方案。这两种解决方案都需要进行用户体验更改。
团队对此次攻击的影响承担责任,要求返还资金并请求帮助。他们为协助追回资金的第一个个人或团队提供了10万美元的赏金。如果在接下来的36小时内完成,赏金将增加至40万美元。同时,团队要求任何试图返还资金的人不要公开攻击者的身份。
"我们犯了一个工程错误,我们承认这一点,"Harvest的声明中表示。"数以千计的人成为附带损害,因此我们谦卑地请求攻击者将资金返还至部署者,届时资金将全额返还给用户。"
(本文已根据Harvest的后续报告更新信息)
