DeFi 项目 Harvest Finance 造成用户损失超 2000 万美元，知名 KOL 提醒用户撤离 Harvest

10 月 26 日消息，锁定资金量超 10 亿美元的 DeFi 项目 Harvest Finance 被曝遭黑客攻击，据称已造成大约 2400 万美元的损失，很多参与者自称损失了 15% 以上的资金，受此消息影响，Harvest 的治理代币 FARM 一度暴跌 70% 以上。

而 Harvest 项目方则发布推文解释称：

“这次攻击和其他套利经济攻击一样，缘于一笔大额的闪电贷，攻击者多次操纵 curve y 池以提取 fUSDT 和 fUSDC 资金，随后将资金转换成 renBTC，并退出为 BTC。”

此外，Harvest 项目方还表示：

“我们正致力于减轻对稳定币和 BTC 池的攻击，一旦有更多细节可用，我们将会进行实时更新。”

而据 DeFi 之道提供的最新消息显示，黑客以 USDT 和 USDC 的形式归还了大约 247.8 万美元的资金，约占到被盗资金量的 10%，而 Harvest 项目方则表示随后会将这些资金归还给受影响的用户。

1

DeFi 社区炸锅，知名 KOL 提醒用户应撤离 Harvest

目前，关于这次 Harvest 攻击的信息依旧非常有限，而 DeFi 社区的知名参与者则发出提醒称，Harvest 用户应尽快将其资金从该项目的合约中提取出来。

截至发稿时，Harvest 合约锁定的资金已骤降至 5.9 亿美元，较 24 小时之前下滑 42.41%。

而在这次攻击发生的前一天，DeFi 观察者 Chris Blec 则揭示了 Harvest 项目所存在的巨大风险，其提到称，Harvest 项目合约所锁定的 10 多亿美元资金，完全受匿名开发者的控制，并且开发团队存在刻意隐瞒这一事实的嫌疑。

以下是译文内容：

DeFi 的发展太快，要跟上它的节奏实在太难，即使是我也是如此。

但这并不意味着我们无法保证安全，并且我们不必成为开发者就可以做到这一点。

在这篇文章中，我将分享自己发现 Harvest Finance 存在高危管理密钥风险的步骤，而这一事实危及到了用户的资金。

就在昨天，当我查看 DeFi Pulse，并看到排行榜中排名第四的项目 Harvest Finance 时，其锁定的资金量已超过了 10 亿美元，但我发现自己对这个项目并不了解。

我第一次听说 Harvest Finance，是他们为许多 Gitcoin Grants 参与者捐款 50,000 美元，当时其宣布这一消息时，我确实有关注到它。

两天前，我突然注意到一条关于 Harvest 锁定资金量突破 10 亿美元的推文。

看到这一点，我记下了要检查的内容。Harvest 是目前市场上众多的收益农耕（yield farming）项目之一，我还没有时间去研究每一个，但是突破 10 亿美元的项目，无疑会让我产生兴趣。

我的第一站就是看他们的网站，找到它并不难，他们的官方 Twitter 介绍里就有链接。

这是一个典型的收益农耕用户界面，在点击了一段时间后，我发现他们接受了多个代币存款，包括 Uniswap LP 代币，我开始想知道，这个项目的去中心化程度到底有多高。

这一部分实际上非常重要，因为很少有 DeFi 用户会这么干。任何时候，当一个智能合约接受存款时，你首先要问的问题是“这个产品的去中心化程度如何？资金是如何被持有的？有管理密钥吗？如果有的话，它能够做什么？”

一旦这些问题出现在你的脑海中，那你就需要在存款之前得到答案。如果你在没有答案的情况下就存款，那你就是在赌博。

我开始点击他们的 FAQ 和 Wiki 标签，直到找到一些线索。首先，我看到 Harvest 的“技术资料”里提到了时间锁（timelock）。

如你所见，在“技术资料”中没有提及关于管理密钥的其他内容。

什么是时间锁（timelock）？它是一种智能合约，它为以太坊管理密钥调用的任何交易添加延迟，从而让用户有时间检查交易，并及时取出自己的资金。

也就是说，如果没有某种密钥，那就根本用不到时间锁（timelock）。

所以当我看到时间锁（timelock）这个词，而技术资料中没有提及管理密钥或它能够做什么时，我知道我必须更深入地调查这个项目。

在他们的 Wiki 页面上，我发现了一个名为“Harvest Security”的链接。通常，当你在 DeFi 产品网站上看到一个叫做“Security”的页面时，你一定会找到一些审计报告。而我确实也看到了。

Harvest Finance 在其网站上提供了两份审计报告，这两项审计都是在 9 月份完成的，分别由知名的安全公司 Peckshield 和 Haechi Labs 所提供。

首先，我点击 Peckshield 审计的链接，然后我看到的是这个：

这不是什么好事。

我只花了 3 秒钟就注意到 URL 是不正确的，以及“https://github.com…” 之前的所有内容都应被删除。

在继续之前，让我问你，作为一名非开发人员，你会在这里停下来放弃吗？还是说，你会花点时间查看 URL 并尝试找出问题所在？

我不知道这是否是 Harvest 团队无意犯的错误，还是其故意阻止他人查看审计报告的一种方式（因为该错误在两份审计报告中都有被提及）。但是，我确实知道，用户必须要勤奋地寻找他们需要的信息，以作出明智的决定-即使这些信息被隐藏了起来！

所以，我修改了 URL，并得到了 Peckshield 的实际审计报告：https://github.com/harvest-finance/harvest/blob/master/audits/PeckShield-Harvest.pdf

看起来很吓人，不是吗？

好吧，不一定如此，你无需成为开发者即可查看审计报告，并获得一些非常重要的，有关智能合约系统的线索。

打开审计报告时，我要做的第一件事，就是搜索提及管理密钥（admin key）或“治理”（governance）的内容。

这很容易就能找到。

让我们看第 42 页的内容，如你所见，Peckshield 使用了通俗易懂的英语，其向读者表明，Harvest 项目的治理职责高度中心化且非常不稳定。

“ [治理] 当前由一个 EOA 账户所控制，这引起了社区的必要关注。”

简单说，Harvest 项目的资金，完全是由一个单一的以太坊账户所控制的，它并不涉及什么 DAO，也没有多重签名。

在审核结果中，Peckshield 给出了一个表，其中所有的资金都是由同一个地址所控制

阅读审计报告时，请务必记住，项目方通常要为审计公司支付费用，而当你在审计报告中看到类似这种表时，实际上代表审计公司在通知你，该项目实际存在一些非常真实的危险，审计公司希望在不完全激怒客户的情况下尽可能地诚实。

接下来，查看 Haechi Labs 的审计报告：https://github.com/harvest-finance/harvest/blob/master/audits/Haechi-Harvest.pdf

我再次扫描了目录，然后看到了这个重要的提醒：

让我们再仔细看看。

这意味着，这些智能合约中所持有的 10 亿美元资金，开发者可随时将它们转移走。

管理密钥对于 DeFi 来说并不是什么新现象，而且 Harvest Finance 并不是唯一使用它的项目。但是，对于一个掌握 10 亿美金巨额资金的项目而言，管理密钥的存在是令人感到害怕的。

因此，我问自己的下一个问题是：

“是谁拥有这个功能非常强大的管理密钥？让我们和那个人谈谈。”

我回到了 Harvest Finance 网站和他们的 Wiki 页面，然后找到了“常见问题”部分内容，这给了我答案。

不，上帝，请不要告诉我，这个掌握着 11 亿美元资金管理密钥的人竟然是一个匿名开发者。

上帝：对不起，这是事实。

该死的。

这个事实让我感到震惊，10 亿美元由一个管理密钥控制已经够糟糕了，更糟糕的是，掌握这个密钥的人是在未知国家 / 地区的陌生人，这一事实将其推向了另一个新高度。

所以，我要大声告诉大家：

如你所见，我确实了解到，由于审计报告已经完成，Harvest 匿名开发者添加了一个前面所提到的时间锁，这是一个只有 12 个小时的时间锁，它不足以为用户提供提供安全保护。

在找到此信息之后，合理的下一步是尝试从 Harvest Finance 社区和开发者那获取更多的信息，但情况不是很好，我因为询问谁持有管理密钥而遭到语言攻击。Harvest Finance 团队禁止我加入他们的 Discord 社区，并在 Twitter 上将我屏蔽。

现在，我不仅知道 Harvest Finance 所持有的资金处于非常危险和不安全的境地，而且我也知道他们的匿名开发者对质疑声持抵制态度，这些对于投资者来说都是不利因素。

这种情况将来会改变吗？如果有一天该项目的匿名开发者充分地分散了当前的管理密钥，那么它可能再值得一看。

但在那之前呢？这是一个不可接触的 DeFi 产品。

将以上这些步骤应用到你感兴趣的每一个 DeFi 产品上，你将能够作为一个非开发人员而生存下来，祝你好运！

欢迎加入社群，与我们讨论如何参与更多 DeFi 项目、探索 DeFi 规则原理~

加入方式：扫码关注，后台点击【加入社群】

DeFi 之道公众号后台

回复“财富”获取 DeFi 热门项目白皮书合集 !

回复“研究”获取 DeFi 研究报告合集！

回复“论文”获取 DeFi 相关论文合集！

干货持续更新中，敬请关注……