20eth 分分钟变数千万美金，defi 农民被割 15% 出局

大家好，我是佩佩，今天又是继续吃瓜 ojbk 谣言的一天，听到一个最搞笑的说的是 ojbk 的私钥在米国西部某神秘人手里有个备份，该神秘人已经抱着保险箱坐灰机回来啦，然鹅海外回来需要先隔离 14 天。。

真的挺佩服币友们的想象力 [捂脸]，开头当个娱乐看看吧。

今天其实还是蛮特别的一天，因为币友们突然发现疑似未来的宇宙第一交易所 uniswap 今天的成交量猛增了 12 倍，突破了 20 亿美金！那些在 uni 粉眼中认为是未来两三年或三五年才会达到的成绩竟然就这样实现了，小伙伴们都惊呆了！

受此影响平台上 usdc/eth 和 eth/usdt 两个交易对的做市收益年化分别飙升到 150%-220%，换算成日化大概 0.5-0.7 个百分点，做市商们算是小撸到一波：

同时还有一批瞬间“发财”的呢，来自 curve.fi(去中心稳定币交易平台) 上的包含 dai/usdc/usdt/tusd 的 Y 池，今日的做市年化飙升到 175%，且还不包括 crv 代币激励的收益：

然鹅这个世界总是有人欢喜有人忧，这些手续费的暴增，并不是什么 defi 热度又重新爆发，而是来自一名 (也可能是团伙) 黑客在各平台间短期大额套利所产生。

这位黑客最早只拿了 20 个 eth 发起闪电贷套利，分分钟获利 2400 多万美金，而这巨额亏损的受害方就来自一个名为 harvest.finance 的 defi 挖矿平台，只要在这家里面存 usdt 的，基本都是瞬间亏 15%。

有小伙伴 19 号还在夸 harvest 产品优秀，没想到也就刚一周，直接被割出局。

好在是稳定币挖矿，15 个点在币圈这种 50% 都算横盘的环境里暂还可接受，另外来自黑客的骚操作，之后又还了几百万给到项目方，这部分也会拿来均分补偿给受损用户，至于另外的两千万美金据说已经分别通过 renBTC 置换套现 btc，以及通过匿名混币器转走，不过项目方目前也还在追踪，不知道是否可以将损失降低到 0。

故事就是这么个故事，那么接下来网友关心的问题来了 :

黑客是怎样利用 20 个 eth 分分钟如变魔术般将平台上的资产变到自己的钱包里呢？

这里涉及到一个背景知识就是 Harvest 是干什么的，它类似 YFI，也属于一个机枪池，代大家挖矿赚取收益，当然如果说难听一点，这类其实就是套娃项目。

人家 curve 做稳定币间交易，市场有这个需求，产生手续费+代币激励，形成了这么一个平台。

参考文章：

2020 最惨 defi 币跌去 99%，但人们还觉得它有希望

但像 harvest 这种后来者，啥都没有，何以解忧，唯有套娃，我收集大家的资金一起去挖 crv 这样的代币，同时我这里还发个空气 token 给一份收益，名字也挺好听叫 Farm，对用户来说，相对于放我这里可以赚两份收益。

资金都是追求利润的，何乐而不为呢，更何况自 9 月初 uni 空投那波热度过后，defi 挖矿市场收益逐步降低，这也使得 harvest 上的锁仓资金自开盘以来逐步增长，在十月中旬更是突破了 10 亿美金。

有了背景了解，黑客的操作就相对容易理解了，下图是其中的一次操作以及部分过程截图：

白话来说大概的流程就是先从 aave 借出闪电贷，按闪电贷机制是一个区块内还款，所以可以几乎无成本的借出大额资产。

然后将 USDC 转入到 curve 的 Y 池中，像 curve 这样的稳定币池，和 Uni 自动做市也是一样的，用大量筹码 A 买入筹码 B，会抬自然高 B 的价格，虽说 curve 算法上是尽量保证价格平稳，但架不住这种大额转换。

这里就存在一个反复转换套利，将部分 USDT 换成 USDC，相应池子里的 USDT 变得“便宜”了，然后拿“便宜”的 USDT 去置换 FARM_USDT(FUSDT)，也就是 harvest 存入 usdt 获得的权益代币，而 harvest 上的 FUSDT 喂价是根据 Y 池来的，也就是它同样变得更便宜了。

然后再将部分 USDC 换回成 USDT，USDT 就比变“贵”了，之前的 FUSDT 自然也变贵了，再兑换转出就能获得更多的 U。

这样一次看区块记录大概能“薅”70 万美金出来，然后一直反复这个套利操作。

从这里来看，问题可能出在这种套娃项目的喂价机制上，同时也有用户曝光他家的合约也有问题，在 todo(未来需要做的列表) 注释中已经标注了可能潜藏的风险：

需要这么直白嘛，可谓求锤得锤。

故事进行到这里，总结几点：

1. 套娃套不好，亲人两行泪，尽可能远离套娃项目，别看它们短期收益可能更高，因为这类一般都是在人家原创的体系中，自己再添一些接口功能以及多了一层转换权益代币，原本合约这种就有未知性，这相当于又无形中添加了一层风险，而且是更不确定的，像 Harvest 最早好像审计也没有。

2. 也要注意连带风险，现在很多交易所的理财有些可能就是放在这类平台上，这次我不知道有没有受影响的，可能就算有，实际影响有限，但如果有把资产放在一些中心化平台里的童鞋，也需要注意你的收益到底来自哪里，风险几何。

3. 币圈的黑客事件有些稀松平常了，可能关注度没那么高，但这次事件可能是一次提醒，defi 是在走下坡路了，当这些挖矿交易变得不那么活跃了，也是给了各种藏在暗处的有心人提供套利的机会，还有大额资产挖矿的，需要更多的注意下资金配置，可能减少折腾会是更明智的。

4. 其实 defi 说白了，去的更多的只是代币分发的中心化，虽然带个 de 但实质和那些中心化的项目方没啥区别，token 的去中心化带起来一股热潮，但也是会消散的，看之前很多人说为啥 uniswap 的交易量相比前俩月下降了很多，其实很简单，就是投机热情没了啊，赚钱效应没了啊。咋办，苟着等下一波呗~

温馨提示：以上内容仅供参考，请勿直接作为投资依据，数字货币市场风险较大，还请谨慎参与！

防失联，请扫描下方二维码，加入风火轮社区