作者:秦晓峰
来源:Odaily星球日报
今天上午,DeFi 聚合协议 Harvest Finance 针对昨天闪电贷攻击发布声明。
根据公告,本次攻击损失共计 3380万美元(此前媒体报道是 400 万美元),约占攻击发生前协议中锁仓总价值的 3.2%;攻击者退回的 247 万多美元,将根据快照按比例分配给受影响的储户;未来 Harvest Finance 将对存款实行“提交-披露”机制,减少闪电贷攻击,使用预言机来确定资产价格,并提高存款 arb 配置(当前阈值设置为 3%)。
昨天上午 10 点,推特用户爆料称,攻击者通过闪电贷依靠 20 ETH 的成本(手续费)在 Curve 协议 y 池进行套利获得无常损失,而 Curve.fi Y 池正是 Harvest 金库投资的地方。攻击者随后将资金转换为 renBTC并套现,Harvest 也因此损失数百万美元,不少参与者称损失了 15%~20% 以上的资金。
受此影响, Harvest Finance 治理代币 FARM 价格从 237 美元一度暴跌至 78 美元,最大跌幅接近 70% ;截至今天发稿,FARM 价格回升至 110 美元左右;Harvest 协议锁仓量,也从 11.1 亿美元量已骤降至 4.5 亿美元,最大跌幅 60%。
不过,Curve 协议却并未受到影响,其治理代币 CRV 价格在过去 24 小时不断攀升,一度升至 0.44 USDT,最大涨幅接近 30%。
Harvest Finance,是一个 DeFi 收益聚合器,其主要功能是向其它 DeFi 池提供流动性来为自己的流动性提供者赚取收益。在攻击发生前,Harvest Finance 主要在 Curve 协议 y 池提供流动性。
攻击者是如何实现攻击,完成套利的?
先为大家捋一下本次攻击的逻辑,简单来说分三步,即「借贷-正向操作价格-逆向操纵价格」:
Harvest Finance 公告介绍了完整的攻击链条:
根据 Harvest 统计,用户损失情况不容乐观:USDC 金库单价从 0.980007 跌至 0.834953,USDT 金库单价从 0.978874 跌至 0.844812,跌幅分别为 13.8%和13.7%;总计损失的价值约为 3380 万美元,约占攻击发生前协议中锁仓总价值的 3.2%。
事故发生后,Harvest 团队发文表示,为了保护用户,已经采取措施阻止向稳定币和 BTC 金库存款,现有存款将继续赚取 FARM。
根据今天上午公告,Harvest 已经从共享池中撤出所有资金,包括 DAI、USDC、USDT、TUSD以及 WBTC 和 renBTC。这些资金目前存放在金库中,不会受到进一步的市场操纵。另外,这次攻击没有涉及到 DAI、TUSD、WBTC 和 renBTC,这些金库的储户没有受到影响。
另外,关于用户补偿方面,Harvest 表示,攻击者退回的 247 万多美元,将通过快照按比例分配给受影响的储户,其他补救方法将在治理中进行分析和表决。
此次事故,也暴露了 Harvest 系统机制所存在的弊病。
慢雾安全团队分析认为,此次攻击主要是 fToken(fUSDC、fUSDT等)在铸币时采用的是Curve y 池中的报价,导致攻击者可以通过巨额兑换操控预言机的价格来控制 fToken 的铸币数量。
针对报价问题,Harvest 下一步将使用预言机来确定资产价格。
“虽然一个近似的资产价格可有效地从外部预言机(由 Chainlink 或 Maker 提供)中确定,但是它与实际价格的联系非常松散。如果底层 DeFi 协议内的资产价值与预言机报价不同,金库将面临自由套利和闪电贷攻击。这不是 Harvest 的解决方案,但是,在系统设计和可能的缓解策略中,我们将考虑使用预言机。”
并且,未来 Harvest Finance 将对存款实行“提交-披露”机制,减少闪电贷攻击,提高存款 arb 配置(当前阈值设置为 3%)。此外,Harvest Finance 原定于 10 月 27 日发布的智能合约改进计划也将被推迟,以便在攻击背景下再次评估其安全性。
对于攻击者,Harvest Finance 公布了相关涉案地址,并发文表示,“除了持有被盗资金的BTC地址,我们现在还获取了大量关于攻击者的个人身份信息,他在加密社区颇为有名。”
不过,Harvest Finance 似乎无意追查攻击者的身份信息。
“我们对公开攻击者个人信息不感兴趣,我们尊重你的技术和独创性,只要你把钱返还给用户。攻击者已经证明了他们的观点。如果他们能把这笔钱返还给用户,将会受到社会各界的高度赞赏,将资金返还给受影响的用户是重点。”
在公告中,Harvest Finance 表示:
由于 Harvest Finance 对待攻击者态度较为「暧昧」,不少声音认为官方监守自盗,上演了一出贼喊捉贼的大戏。
加密 KOL@Bitcoin 发出质疑:
就在套利攻击前两天,DeFi 观察者 Chris Blec 就揭示了风险:该项目合约锁定的 10 多亿美元资金完全受匿名开发者的控制,并且开发团队存在刻意隐瞒这一事实的嫌疑。
CoinTelegraph 援引安全团队 Haechi 审计报告报告称,Harvest Finance 拥有一个管理密钥,可让持有者随意铸造代币并窃取用户的资金,该管理密钥可能由该项目背后的匿名开发者持有。
币印潘志彪表示,Harvest 没有进入币印 DeFi 理财,最大的原因就是没有通过币印的风控,他们理论上甚至可以挪用客户资金,因为缺乏必要的Timelock、多签管理等保护措施,他们为提高资金使用效率,采用快速生效策略机制,但极大牺牲了安全性。
作为对外界质疑的回应,Harvest Finance 在合约中引入了一个 12 小时的时间锁功能,但依然未能打消用户质疑。
经历了此次攻击风波,Harvest Finance 链上锁仓量也从 11.1 亿美元量已骤降至 4.5 亿美元,最大跌幅 60%。
未来,Harvest Finance 将如何发展,Odaily星球日报也将持续关注。
声明:本内容为作者独立观点,不代表 CoinVoice 立场,且不构成投资建议,请谨慎对待,如需报道或加入交流群,请联系微信:VOICE-V。
简介:探索真实区块链
评论0条