比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

Harvest官方詳解被黑客套利2400萬美元的過程,閃電貸只是其中一環_VES

Author:

Time:1900/1/1 0:00:00

編者按:本文來自巴比特資訊,作者:HarvestFinance,編譯:灑脫喜,星球日報經授權發布。10月26日,黑客利用閃電貸從DeFi協議Harvest的金庫中盜走了2400萬美元資金,而根據Harvest官方的分析報告顯示,閃電貸只是這次攻擊的一環,具體還涉及到了DeFi協議的無常損失問題,盡管攻擊者事后歸還了大約250萬美元的資金,但Harvest用戶面臨的損失依舊超過了2000萬美元,對此,Harvest官方發出了懸賞,并請求黑客歸還剩余的資金。總結:我們對這一工程錯誤負責,并確保此類事件在未來得到緩解;為受影響的用戶制定補救計劃是我們在未來一周的首要任務;我們謙卑地請求攻擊者將資金退還給部署者,以便可以將它們分配給受影響的用戶;發生了什么?

UTC時間10月26日2:53:31,一名攻擊者從HarvestFinance的USDC和USDT金庫中竊取了資金。攻擊者利用了影響Curve.fiY池中個人資產的套利和無常損失進行了攻擊,而Curve.fiY池正是Harvest金庫投資的地方。協議的以下機制允許執行此類攻擊:Harvest的投資策略計算投資于基礎實時協議資產的實時價值。金庫使用資產的價值來計算將要發給資金存放用戶的股份數量。當用戶從金庫中取出資金時,它們還使用資產的價值來計算用戶退出時應收到的支出。一些金庫中的資產存放在底層DeFi協議的共享池中。這些資產池中的資產會受到無常損失、套利和滑點等市場影響。因此,它們的價值可通過大量的市場交易來操縱。攻擊者反復利用Curve.fiY池中USDC和USDT的無常損失影響。他們利用被操縱的資產價值將資金存入Harvest的金庫,以一個對其有益的價格獲得金庫股份,然后以正常的價格退出金庫,從而產生利潤。以下是這次攻擊事件的跟蹤鏈:攻擊者的錢包地址是0xf224ab004461540778a914ea397c589b677e27b,其部署了一個合約0xc6028a9fa486f52efd2b95b949ac630d287ce0af,通過該合約,他們于UTC時間2020年10月26日02:53:31執行了攻擊。而進行攻擊的10ETH是通過0x4b7b9e387a79289720a0226f695913d1d11dbdc681b7218a432136cc089363c4這筆Tornado交易來隱藏來源的。攻擊本身在0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877這筆交易中發起。攻擊者從Uniswap獲得大量USDT以及USDC,以注入攻擊合約中。該合約通過Y池的互換交易將17,222,012.640506USDT兌換成了USDC。互換的影響是,由于其它資產發生了無常損失,Y池內的USDC價值較高。這個智能合約獲得的金額大致相當于17,216,703.208672USDC;攻擊者將49,977,468.555526USDC存入Harvest的USDC金庫,以每股0.97126080216USDC的價格接收51,456,280.788906fUSDC。在攻擊之前,每股fUSDC的價格為0.980007USDC,因此攻擊者將股份價值降低了大約1%。Harvest策略內部的套利檢查沒有超過3%的閾值,因此沒有還原這筆交易。攻擊者通過Y池將17239234.653146USDC兌換回USDT,結果是,由于無常損失效應的恢復,因此在Y池中獲得了USDC的原始較低值。攻擊者從而收回了17,230,747.185604USDT。攻擊者從Harvest的USDC金庫中提幣,用所有fUSDC的股份交換回了50596877.367825USDC。由于Y池內的USDC值下降,每股fUSDC的價格為0.98329837664USDC。USDC完全由Harvest的USDC金庫支付,完全不與Y池交互。如此進行一次,攻擊者的凈利潤就是619408.812299USDC,而攻擊者在同一筆交易中重復了幾次該過程。在4分鐘內針對USDC金庫執行了17筆攻擊交易后,攻擊者以類似的方式對USDT金庫重復該過程,從交易0x0fc6d2ca064fc841bc9b1c1fad1fbb97bcea5c9a1b2b66ef837f1227e06519a6開始。他們在另外3分鐘內完成了13筆針對USDT金庫的攻擊交易。在UTC時間2020年10月26日03:01:48,攻擊者將13,000,000USDC和11,000,000USDT從攻擊合約中轉移至地址0x3811765a53c3188c24d412daec3f60faad5f119b。攻擊者隨后又在0x25119cd54a4562aa427d9770af383512f9cb5e8e4d17232ad96b69dc293a3510這筆交易中將部分資金轉移回Harvest部署者地址,涉及1761898.396474USDC和718,914.048541USDT。HarvestFinance在評估了這次攻擊并重構攻擊過程后,立即從共享池中取出了所有資金,這包括DAI、USDC、USDT、TUSD、WBTC以及renBTC。這些資金目前都在金庫中,不再受到市場操縱的影響。這次攻擊并沒有涉及DAI、TUSD、WBTC以及renBTC,這些金庫的存儲用戶也沒有受到影響。攻擊發生后,USDC金庫的股份價格從0.980007下跌至0.834953USDC,而USDT金庫的股份價格則從0.978874跌至0.844812USDT,兩者分別下跌了13.8%和13.7%。用戶損失的價值大約為3380萬美元,相當于攻擊前協議中鎖定總價值的3.2%。與攻擊有關的事務日志可觀察攻擊者的地址0xf224ab004461540778a914ea397c589b677e27b。下一步

CoinShares約有11%的總凈資產在FTX上,價值約3030萬美元:金色財經報道,數字資產投資和交易集團CoinShares披露其對FTX的風險敞口約占其總資產凈值的11%,包括約2590萬美元的USDC、190枚比特幣、1000枚以太坊。CoinShares首席執行官表示,資產來自其自營交易活動,公司的ETP業務不受鎖定資產的影響。[2022/11/10 12:45:52]

HarvestFinance協議有一個定期的每周計劃表,它需要保持所有農民的持續收益。根據2020年10月27日的排放計劃,HarvestFinance團隊宣布鑄造19637.46枚FARM代幣。而社區要求的,原定于10月27日發布的智能合約改進計劃將被推遲,以便在攻擊背景下再次評估其安全性。金庫中使用共享池的資金,將繼續從策略中提取,直到此類攻擊的緩解措施到位。這些措施,以及為受影響的用戶提供補救的基礎設施,將是團隊下一個開發重點。我們對這一工程錯誤負責,并確保此類事件在未來得到緩解。未來可能的緩解措施

HarvestFinance團隊致力于評估可能的緩解策略,并在即將發布的版本中實施這些策略以及任何必要的用戶體驗更改。我們將利用新金庫的可升級特性,以及基于時間鎖的投資策略替換,并在發布前很好地與社區溝通緩解策略。可能的修復技術包括以下這些選項:實現存款的提交和顯示機制。這將消除在單筆交易中執行存款和取款的能力,因此,基于閃電貸的攻擊就變為不可行了。就用戶而言,這意味著在存款期間,他們的代幣將在一次交易中轉移到Harvest。用戶隨后會在另一筆交易中claim他們的股份,最好是在不同的區塊中。這將構成用戶體驗的變化,并可能導致更高,但仍可接受的gas成本。一個更嚴格的配置現有存款arb的檢查策略。當前的閾值設置為3%,因此不足以保護金庫免受此類攻擊。一個更嚴格的閾值可能使這種攻擊在經濟上不可行,然而,在自然無常損失效應的情況下,它可能會限制存款,周日的事件超過了7分鐘,這表明,這一措施不夠有效,因此應被視為對其他措施的補充。基礎資產的提取。當用戶存入使用共享池的金庫時,他們會有效地將其單個資產交換為池資產。如果用戶只提取基礎資產,他們就可以根據當前的市場狀況將其交易為資產組合。如果市場受到操縱,交易也會受到這種操縱,這將阻止攻擊實體產生利潤。從普通用戶的角度來看,提出yCRV之后可以在單獨的交易中轉換為穩定幣。雖然這需要進行UX方面的改變,但它可能有利于協議。而這種方法的缺點是,它將金庫提取機制與當前正在使用的策略綁定在一起:如果一個策略切換到另一個不使用共享基礎池的策略,或者使用不同的池,則提取所產生的資產也會發生變化。使用預言機來確定資產價格。雖然一個近似的資產價格可有效地從外部預言機中確定,但是它與實際股份價格的聯系非常松散。如果底層DeFi協議內的資產價值與預言機報價不同,金庫將面臨自由套利和閃電貸攻擊。這不是Harvest的解決方案,但是,在系統設計和可能的緩解策略中,我們將考慮使用預言機。針對丟失USDC和USDT資金用戶的補救方法

CoinShares:上周加密貨幣投資產品凈流入6400萬美元:7月4日消息,據CoinShares周報數據,上周數字資產投資產品凈流入6400萬美元。其中比特幣在一周內幾乎沒有流入,總額僅為60萬美元。在美國推出新產品后,Short-Bitcoin的流入總額達到創紀錄的5100萬美元。上周,以太坊連續第二周流入500萬美元,打破了11周的流出魔咒。多資產(多加密)投資產品的流入總額為440萬美元。[2022/7/4 1:50:17]

通過快照和MerkleDistributor分發攻擊者已退還的資金,我們與幫助創建這些工具的開發人員聯系,并致力于構建可為受影響的用戶提供補救措施的基礎架構。分配資金是當務之急,一旦工具被構建出來后,我們將會發布更多關于資金分發的細節信息。其他補救方法將在治理中進行分析和表決。攻擊者信息和賞金

攻擊者使用了新生成的以太坊地址0xf224ab004461540778a914ea397c589b677e27bb來執行這次攻擊;Tornado交易0x4b7b9e387a79289720a0226f695913d1d11dbdc681b7218a432136cc089363c4;攻擊在0x35F8D2F572FCEAAC9288E5D46211780EF2694786992A8C3F6D02612277B0877這筆交易發起;攻擊者通過REN協議將比特幣傳輸到以下地址:1Paykw4s2WX4SaVjDrQkwSiJr16AiANhiM1HLG86DDEzAxAGmEzxr1SUfPCWcnWA6bMm14stnrgMFNR4LesqQRUdo5n1VUx9xdAMeg18w2Bm2cCsbLjWQU9BcnjzK8ErmzozrVa31FS2t2eAjmjaNmADN6SMHYo7G4XGpX1osS1NdAJ89k1qpRMpZLwuYGQ7VnM45xD2NJXa1CLHhshrusvT4XADWA29R2H4ndsSUamEWn然后,攻擊者將幾筆交易發送到已知的Binance存款地址:https://blockstream.info/tx/7777569f003193ae59dbc5afbbf8bfbf3ac6c8ce8a8ec2b8707de14ddc3329a6https://blockstream.info/tx/9fcc273f2d50fc5824b8fd0bbe832831d02e7fe04bcc09d143e787455c602195我們向第一個幫助我們找回資金的個人或團隊提供10萬美元的賞金。如果是在接下來的36小時內完成退還,則賞金為40萬美元。請不要在這個過程中人肉搜索攻擊者,我們強烈建議將所有努力集中在確保用戶資金成功返還給部署人員上。關有關閃電貸攻擊者的信息:攻擊者已經證明了他們的觀點。如果他們能將資金返還給用戶,社會各界將不勝感激,將資金返還給受影響的用戶是重點。我們犯了一個工程錯誤,我們承認了。成千上萬的人遭到了附帶損害,因此我們謙卑地請求攻擊者將資金退還給部署者,然后將資金全部分配給用戶。

Cardano創始人Charles Hoskinson透露正在開發新穩定幣項目Djed:Cardano創始人Charles Hoskinson稱,其開發公司Input Output Global(IOG)已經創建自己的穩定幣Djed,這是一種“加密貨幣支撐的錨定算法穩定幣”。

Hoskinson最近表示自己一直很忙,并在AMA直播視頻中透露關于Djed的細節。“Djed是一種算法穩定幣協議,運轉方式類似于一家自治銀行,以與目標價格掛鉤的價格區間買賣穩定幣。從某種意義上說,這是一種加密貨幣支撐,即銀行在其儲備中保留一種波動性很大的加密貨幣。”

Hoskinson稱,盡管完整的白皮書尚未發布,但研究人員已經花了大量時間使用Isabelle代碼驗證新項目。Isabelle代碼是計算機科學家用來證明定理并使其易于轉換為代碼的工具。新的穩定幣最終將在Cardano的智能合約平臺Plutus中實現。(The Daily Hodl)[2021/7/18 0:59:46]

Iftikhar Qasim:數字收藏品世界因響應流行趨勢而成為引領者:3月18日消息,Terra Virtua 亞太地區負責人 Iftikhar Qasim在做客《HyperPay焦點》欄目時提及:NFT具有獨特的屬性;它們通常與特定的資產相關聯。它們可以用來證明游戲皮膚等數字道具的所有權,也可以用來證明實體資產的所有權。我們相信,這一代的消費者對他們喜愛的品牌有更多的需求,通過感官聯系、所有權、相關參與、互動和分享的社交體驗。品牌希望與粉絲建立聯系。然而,這種接觸的選擇是有限和零散的。實體商品無法迅速響應流行趨勢,而這正是數字收藏品世界真正成為引領者的地方。[2021/3/18 18:57:42]

動態 | Dharma鎖倉資產暴跌74%,用戶提幣困難,合約代碼已閉源:據區塊律動消息,去中心化借貸平臺Dharma社群內最近有不少用戶反映在使用產品今天提幣時遇到問題,原本應該自動化處理的合約并未執行而且處于代處理狀態(pending)。與此同時Dharma的鏈上鎖倉資產數量也在一個月時間內暴跌74%,僅剩561萬美元。 有用戶反饋點擊提幣后十多個小時沒有反饋,還有用戶的提幣訂單被重置,多次提幣仍然無法提出。官方的support@dharma.io郵箱也沒有對用戶的問題作出反饋,有用戶已經提交了問題數月仍然無法解決,引發不少用戶的焦慮。 DappTotal的DeFi數據顯示,Dharma平臺的的鎖倉資產從一個月前的2187萬美元暴跌至8月2日的561萬美元,有74%的資產已經被提幣轉走,處于資產流出狀態。 根據Dharma的Github,項目代碼中最后一次更新是4月18日,更新內容為開發者手冊。Telegram社群管理員Rachael McWhirter在上個月20日表示,“項目合約已經閉源處理,所有核心協議代碼正在被ZK Labs、Trails of Bits、Zeppelin等審查”。目前Dharma的Twitter等渠道正常運行。[2019/8/2]

Tags:USDSDCUSDCVESFLUSD價格usdc幣與usdt幣哪個好AUSDC幣waves幣為什么跌得那么狠

狗狗幣價格
創年內新高,12歲的比特幣未來還能漲多少?_比特幣

據火幣,比特幣于10月31日上漲2.23%,沖止今年新高14099USDT,目前在13885USDT附近盤整蓄勢.

1900/1/1 0:00:00
WBTC成為以太坊上第6大加密貨幣,突然增長的背后是什么?_WBTC

編者按:本文來自Cointelegraph中文,Odaily星球日報經授權轉載。WBTC在今天達到了歷史最高的市值和代幣數量。WBTC代表ERC20版本的比特幣,基于以太坊網絡.

1900/1/1 0:00:00
Filecoin上線12小時:開始即頂點,散戶套利官方做市,分叉幣悄悄上線_GLO

Filecoin上線后在20-200美金之間波動,16日北京時間上午價格開始穩定在60-70美金,以目前價格來看雖然不至于超過比特幣以太坊,也以1000億以上的市值,成為了第三大的加密貨幣.

1900/1/1 0:00:00
支付巨頭PayPal與比特幣的恩怨九年_加密貨幣

編者按:本文來自DeepChain深鏈,作者:深鏈六六,Odaily星球日報經授權轉載。九年時間,PayPal和比特幣真正走到了一起.

1900/1/1 0:00:00
信息科技產生的美學、倫理與法律問題探析 | 科幻鏈接現實_區塊鏈

10月22日下午,由Odaily星球日報策展發起,PlatON、傳茂文化、BCA、36kr聯合主辦的「科幻鏈接現實·加密藝術的實踐之路」線上論壇成功舉辦.

1900/1/1 0:00:00
縱覽波卡9大熱門DeFi,誰更有潛力?誰可能是坑?_ALA

波卡主網將隨著平行鏈的拍賣真正實現“可用”,從目前的開發進展來看,時間不會太久了,繼而波卡生態將迎來快速發展期.

1900/1/1 0:00:00
ads