一文梳理 Harvest Finance 閃電貸安全事件_EST

HarvestFinance此次遭受閃電貸攻擊主要是由于fToken在鑄幣時采用Curvey池中的報價，攻擊者可以通過巨額兌換操控預言機價格來控制fToken的鑄幣數量，從而獲利。

撰文：阿得

10月26日中午12時左右，DeFi熱門項目HarvestFinance被曝遭黑客攻擊。據推特網友發現，疑似有黑客借用閃電貸，使用20ETH從HarvestFinance中套現超400萬美元。

消息擴散后，HarvestFinance項目的FARM代幣價格在短時間內下跌近60%，同時HarvestFinance和Curve的鎖倉量大幅減少。截至目前，Curve鎖倉量為8.53億美元，較昨天減少25.92%；HarvestFinance鎖倉量為5.85億美元，較昨天減少47.27%。

鏈聞對相關信息進行梳理，簡析HarvestFinance本次安全事件的要點。

到底發生了什么？

據慢霧安全團隊分析，HarvestFinance項目此次遭受閃電貸攻擊主要是HarvestFinance的fToken(fUSDC、fUSDT...)在鑄幣時采用的是Curvey池中的報價(即使用Curve作為喂價來源)，導致攻擊者可以通過巨額兌換操控預言機的價格來控制HarvestFinance中fToken的鑄幣數量，從而使攻擊者有利可圖。

“Celo加入Chainlink SCALE計劃以加速生態增長”的提案已投票通過:4月13日消息，Celo社區已經投票通過“Celo加入Chainlink SCALE計劃以加速生態系統增長”的提案，支持率達99.9%。

該提案提議Celo從社區基金中分配CELO以支持Chainlink SCALE計劃。SCALE計劃旨在使區塊鏈社區能夠支持長期可持續性和快速跟蹤智能合約創新。通過支持Chainlink SCALE計劃，Celo可以促進在Celo網絡上啟動Chainlink預言機。

根據該提案，Celo社區基金將在三年內向支持Celo網絡上Chainlink Data Feeds的節點運營者分配5,980,314枚CELO。分配的資金將用于支持Chainlink節點運營者的運營成本。Chainlink Labs和Celo基金會將進行季度審查，以確保為Celo生態系統提供的服務保持一致。（ETHNews）[2023/4/13 14:01:50]

攻擊者通過Tornado.cash轉入20ETH作為后續攻擊手續費；

攻擊者通過UniswapV2閃電貸借出巨額USDC與USDT；

Coinbase CEO：Coinbase的質押服務不是證券，必要情況下愿意在法庭為其辯護:2月13日消息，Coinbase首席執行官Brian Armstrong推特發文稱，“Coinbase的質押服務不是證券。如有需要，我們很樂意在法庭上為其辯護”。此前，Armstrong也發文稱“堅持為經濟自由而戰，保護客戶免受政府過度干預”。他表示，質押是加密貨幣領域一個非常重要的創新，質押不屬于證券。新技術應被鼓勵在美國發展，而不是因缺乏明確的規則而被扼殺。

金色財經此前報道，美國證券交易委員會(SEC)周四宣布，加密交易所Kraken將“立即”終止向美國客戶提供加密質押服務，并將向SEC支付3000萬美元罰款，以解決其提供未注冊證券的指控。[2023/2/13 12:02:55]

攻擊者先通過Curve的exchange_underlying函數將USDT換成USDC，此時CurveyUSDC池中的investedUnderlyingBalance將相對應的變小；

隨后攻擊者通過Harvest的deposit將巨額USDC充值進Vault中，充值的同時Harvest的Vault將鑄出fUSDC。而鑄出的數量計算方式如下：amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());計算方式中的underlyingBalanceWithInvestment一部分取的是Curve中的investedUnderlyingBalance值，由于Curve中investedUnderlyingBalance的變化將導致Vault鑄出更多的fUSDC。

美國銀行：利用分布式賬本技術的CBDC可能改變全球金融體系:金色財經報道，美國銀行 (BOA) 的全球研究團隊本周早些時候發布了一份關于全球加密貨幣、數字資產和中央銀行數字貨幣的報告。銀行寫道：數字貨幣似乎不可避免。我們將分布式賬本和數字貨幣（例如 CBDC 和穩定幣）視為當今貨幣和支付系統的自然演變。我們的觀點是，利用分布式賬本技術的 CBDC 有可能徹底改變全球金融體系，并且可能是貨幣歷史上最重要的技術進步。“由于三個原因，中央銀行發行 CBDC 似乎是不可避免的。” 首先，它們“可能會提高跨境和國內支付和轉賬的效率。” 此外，它們“可能會降低中央銀行失去貨幣控制的風險”和“提高金融包容性”。[2023/1/23 11:26:38]

之后再通過Curve把USDC換成USDT將失衡的價格拉回正常；

最后只需要把fUSDC歸還給Vault即可獲得比充值時更多的USDC；

隨后攻擊者開始重復此過程持續獲利。

其他攻擊流程與上訴分析過程類似參考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877

Ava Labs總裁：TradFi對加密貨幣的興趣“絕對沒有減弱”:金色財經報道，AvaLabs總裁John Wu在Avalanche House演講時表示，現在可能是加密貨幣的冬天，但傳統金融機構仍在繼續影響該領域。Wu表示，摩根大通公司和法國最大投資銀行之一的子公司SociétéGénérale-Forge等公司是金融機構在加密貨幣寒冬期間仍在創新并為更廣泛采用加密貨幣鋪平道路的例子，“試圖將區塊鏈技術應用于簡化現實世界資產或對現實世界資產進行新代幣化的機構，他們的興趣絕對沒有減弱”。（decrypt）[2022/7/18 2:20:19]

安全事件發生后，HarvestFinance初步調查后更新推特表示：

就像其他套利經濟攻擊，本次攻擊源于一筆巨額閃電貸。攻擊者多次操縱一個資金池的價格，以耗盡另一個資金池里的資金，隨后再將資金轉換為renBTC并套現。

Algorand報告：建議CBDC采用混合方法來提高數字經濟的效率和競爭力:7月13日消息，Algorand研究團隊發布報告提出了一種混合CBDC模型，該模型建立在兩層零售系統中公共區塊鏈（如Algorand）的私有實例上。在這種模式中，中央銀行對CBDC擁有完全控制權，同時允許商業銀行、匯款提供商和其他金融科技公司等許可服務提供商 (LSP) 促進分銷和交易。與傳統系統相比，基于區塊鏈的零售CBDC還促進了更廣泛的金融包容性，特別是對于那些在非正規經濟中可能面臨開立傳統銀行賬戶困難的人。總的來說，與傳統的中心化數字貨幣相比，擬議的設計將更簡單、更經濟，便于中央銀行大規模實施和管理。（PR News Wire）[2022/7/13 2:09:16]

此外，HarvestFinance官方還表示：

此次攻擊是通過Curvey池進行。為了保護用戶，HarvestFinance已經將y池和BTCCurve策略資金存入Vault中。目前為止，所有穩定幣和BTC資金都在Vault中。其他池不受影響。

HarvestFinance還通過與RenProtocol合作，并相關的10個BTC地址，希望幣安、火幣、OKEx和Coinbase等交易平臺對其進行凍結。其進一步稱：

除了持有被盜資金的BTC地址，我們現在還掌握了大量關于攻擊者的個人身份信息。他在加密社區頗為有名。

后續影響

由于本次安全事件涉及的金額較大，且影響較廣，再次引發市場對DeFi項目安全性的擔憂。Cobo聯合創始人神魚在微博表示，理論上凡是Harvest上的穩定幣和BTC挖CRV的單幣都有這個風險，大家抓緊提現。

在市場恐慌蔓延的情況下，Debank數據顯示，DeFi市場總鎖倉價值從10月25日的149.98億美元下降至今日138.90億美元。在鎖倉量排名前十的項目中，已有Harvest、Curve、YFI、Aave四個項目下跌比例超過10%。其中Harvest從11.19億美元的鎖倉量下跌至5.85億美元。

鎖倉量的大幅下降卻帶動了Uniswap等去中心化交易所的交易量。據Uniswap官網顯示，Uniswap的交易量今日突現猛增態勢，從昨天的1.48億美元增長到21.1億美元，24小時增長1267.91%。

TheBlock研究總監LarryCermak對此發推稱，這其中約92％的交易量來自USDT/ETH交易對和USDC/ETH交易對。他們為Uniswap的LP產生了576萬美元的費用。

據DeFi發燒友jiecut總結的數據顯示，在本次安全事件中，黑客在鏈上的操作為部分平臺帶來了比較可觀的收入。其中Uniswap的LP收入近600萬美元；CurveLP大約可獲得100萬美元；ETHGas費達10萬美元；RenVM的手續費為2萬美元。

據官方消息，目前攻擊者已通過USDT和USDC的形式退回開發者247.9萬美元，這筆資金將通過快照按比例分配給資金受損的存款人。HarvestFinance持續發推希望黑客歸還被盜資金，并懸賞10萬美金獎勵首位成功和攻擊者取得聯系并幫助返還用戶資金的個人或團隊。

安全端倪早已顯現

在攻擊發生前，DeFi分析師ChrisBlec揭露了HarvestFinance存在的巨大風險。其指出，HarvestFinance擁有一個管理密鑰，可讓持有者隨意鑄造代幣并竊取用戶的資金。正如該項目的審計公司PeckShield和Haechi所指出的那樣，其治理參數不是由具有明確定義規則的合約來設置的。該管理密鑰可能由該項目背后的匿名開發者持有。持有人可鑄造無限數量的代幣，并消耗代幣的Uniswap池中的資金。

同時，ChrisBlec還表示，項目方或許有在試圖向用戶隱藏其審計報道。因為他發現：

Peckshield和HaechiLabs審計報告鏈接的URL都是不正確的，以及“

https://github.com…”之前的所有內容都應被刪除。

而在ChrisBlec發現問題并試圖聯系HarvestFinance社區和開發者，以詢問管理密鑰的歸屬時，其還遭受到言語攻擊，并被禁止加入HarvestFinance的Discord社區，在Twitter上被拉黑。

最新進展

在最新的推特中，官方表示將在接下來的16小時內發布事后報告，并針對未來的危機應對策略制定工作，包括評估保險方案以及賠償策略。截止發稿前，Harvest代幣FARM暫報101.35美元，24小時跌幅達56.7%。

Tags：VESESTVESTANCves幣價格走勢圖NEST價格INVEST價格Flex Finance

中幣