DeFi 研究員 Chris Blec 上週六(24)發文警告,稱剛剛才在總鎖定價值(TVL)上突破 10 億美元的 Harvest Finance 可能隱藏著中心化風險,因為協議控制權完全掌握在一位匿名的私鑰管理人手上;而項目方的消極回應,更進一步刺激了社群對 Harvest Finance 的不安。(關注最新遭駭消息,請閱讀到本文最後段。)
DeFi 研究員 Chris Blec 指出,Harvest Finance 的協議治理權完全掌握在單一的以太坊地址,意味著誰手握私鑰,誰就可以自由操控這 10 億美元的 TVL;但是,項目方卻拒絕透露私鑰管理人身份,令人擔心是否又是一次退出騙局。
Harvest Finance 是 DeFi 流動性挖礦(Yield Farming)風潮下的又一新產物,TVL 自上週起迅速竄升,在短短一週內連翻了兩倍之多,甚至一度在 DeFi Pulse 的 TVL 排行榜上擠下 Aave、Compound、Synthetix 等知名協議,搶下第四名的寶座。
但是,就如同其他許多未經審計的 DeFi 協議一般,Harvest Finance 也隱藏著許多風險。
私鑰管理人身份成謎
在 Harvest Finance 的 TVL 闖破 10 億美元大關後,很快便宣布將要對池內資金執行遷徙動作,而這項消息也旋即引來了 Chris Blec 的警戒。在經過一番深入研究,Chris Blec 發現 Harvest Finance 不僅疑似刻意隱瞞不利的審計報告,還拒絕透露私鑰管理人的身份。
根據報告,Chris Blec 基於資金池的設計去質疑 Harvest Finance 的分散程度。他表示,對於每一個 DeFi 用戶而言,每當要核准智能合約接受存款的權限時,首先要問自己:「項目的分散程度如何?資金怎麼保管?有沒有管理員私鑰?如果有,私鑰可以做什麼?」
如果你在沒有這些答案的情況下投入存款,你就只是在賭博。
為了找出答案,Chris Blec 深入研究了 Harvest Finance 的白皮書內容。他發現,Harvest Finance 補充資料中顯示,智能合約將設有一個 12 小時的時間鎖(Timelock);但是,Harvest Finance 卻完全沒有披露任何有關私鑰管理權的資訊。
時間鎖是什麼?簡單來說,這是一種智能合約,可以對私鑰指令下的任何交易附加延遲時間。假如沒有時間鎖,管理員私鑰可以自由選擇是否執行任何操作,並且是立即執行的;有了時間鎖,用戶將可保有反悔的時間,隨時在私鑰指令執行前取出存款。
因此,在 Chris Blec 發現 Harvest Finance 隱瞞了私鑰資訊後,一股不安感頓時湧上心頭。
延伸閱讀:倒貨危機?「2,700 萬美元 Sushi」可隨管理者隨意使用,Nomi Chef:這有什麼問題嗎?
延伸閱讀:否認跑路,只為遷移!Sushi 創辦人套現 18,000 ETH,SUSHI 單日暴跌 70%
官方反應消極
Chris Blec 緊接著前往 Harvest Finance 官網上的安全性問題介面,找到了派盾(Peckshield)和 Haechi Labs 在 9 月發表的審計報告。令他詫異的是,Harvest Finance 不知是刻意或失誤,報告的 URL 網址竟然是錯誤的,疑似在阻止他人閱讀。
好在這沒有難倒 Chris Blec,簡單修改 URL 網址後,他成功閱讀到了報告。
糟糕的是,Peckshield 的報告內容似乎進一步印證了 Chris Blec 的擔憂。根據 Peckshield 報告,目前 Harvest Finance 的協議治理權完全掌握在一個外部帳戶(EOA)手上;也就是說,一個獨立的以太坊帳戶,掌握著鎖定在協議上的全部資金。
不是去中心化自治組織(DAO)、不是多重簽章錢包(multisig),是一個單一的以太坊地址;它可以是 Metamask 的帳戶、也可能是在 Ledger Nano S 上。重點是,我們根本不知道它在哪。這是 EOA 的本質,就只是一個基本的以太坊地址。
以下是 Peckshield 報告中附上的簡圖,指示了 Harvest Finance 開設的資金池狀況;可以注意到,無論是哪一個資金池,似乎就是全部掌握在單一地址手中。Chris Blec 表示,這無疑是 Peckshield 試著隱晦地在報告中發出警訊,目的是要盡可能地避免激怒到客戶。
與此同時,Haechi Labs 的報告內容同樣不容樂觀。根據報告,Haechi Labs 指出 Harvest Finance 項目方可以在不需要通過許可的情況下直接動用協議裡的資金;這個結果,驅使 Chris Blec 更加強烈地想造找出 Harvest Finance 的私鑰管理人到底是誰。
在了解到 Harvest Finance 的團隊成員全部都是匿名的之後,Chris Blec 轉往在 Harvest Finance 的 Discord 群組中詢問。豈料,不僅是 Chris Blec 的提問被直接無視,他還立刻在 Discord 和推特上被慘遭封鎖,足見 Harvest Finance 團隊的消極應對態度。
I just attempted to engage with an anonymous leader of @harvest_finance named "Bread for the People" in their Discord channel.
Here's how it went.
AVOID. pic.twitter.com/3jxIVRswcU
— Chris Blec (@ChrisBlec) October 23, 2020
事件爆發迄今,Harvest Finance 始終秉持著不正面回應的作法。舉例來說,在 Chris Blec 的貼文下方,Harvest Finance 僅強調他們已經對外聲明很多次,即該項目早已完成兩次審計,並預計為下一次的合約部署完成另外兩次審計作業。
但是,Harvest Finance 依然拒絕透露私鑰管理人的身份。
此外,在 Autism Capital 的貼文下方,Harvest Finance 同樣是一貫的迴避態度:
Harvest Finance 的任務很簡單,幫助人們獲得更高的 APY、為他們省下一些 Gas 費用。
Harvest's mission is very simple. Help people can get a bit higher APY, save them some gas. That's great, it's a net benefit to the world.
Yield farming has a lot of moving pieces. It's not a static system.
There's a 12 hour timelock.
— Harvest Finance (@harvest_finance) October 24, 2020
Harvest Finance 目前暴露出來的種種跡象,不免令人聯想到 DeFi 在近三個多月來不斷冒出的種種退出騙局。就如 Chris Blec 最後在文末總結的建議,直到 Harvest Finance 充分分散了私鑰功能以前,這可能都是一款「碰不得」的項目。
最新消息:Harvest Finance 遭駭
至本篇報導截稿前,Harvest Finance 正巧在今(26)日中午 12 時左右驚傳遭駭。
根據推特用戶 @devops199fan 的說法,Harvest Finance 稍早遭到了與先前 EMN 事件中類似的攻擊。總計,駭客利用閃電貸奪走了約 2,400 萬美元的資金,並歸還了其中的 250 萬美元給合約部署者。攻擊地址為 0x3811765A53c3188c24d412dAEC3f60fAAD5f119B。
此外,駭客已經透過 Curve Finance 將資金轉換為 renBTC,並已透過 Tornado 完混幣成混幣動作。
根據推特用戶 @Dogetoshi 的貼文,目前 Harvest Finance 的 Discord 群組已是群情激憤,從受害者的描述可以看到,此事件涉及到 USDT、USDC 等穩定幣和比特幣的資金池,在過去幾個小時內至少發生了 30 次以上的套利行為。
Harvest Discord right now. pic.twitter.com/GhkKYz4HgJ
— Steven (@Dogetoshi) October 26, 2020
根據 Uniswap 數據,駭客事件傳出後,Harvest Finance 的平台幣 $FARM 急遽下滑,從大約 230 美元上下大跌至 80 美元左右,跌幅超過 60% 以上。至截稿前,$FARM 暫報在 125.74 美元,波動依然相當劇烈。
Harvest Finance 官方目前已出面回應,確認協議遭到駭客攻擊。根據官方說法,此次攻擊主要是透過在 Curve 的 Y 池造成穩定幣滑價,並反覆執行取款、存款等動作,取出 Harvest Finance 協議中的資金;官方已暫時將暴露在風險的資金轉移至金庫,並對外聲稱其他資金池暫無風險。
The economic attack was performed through the curve y pool, stretching the price of the stablecoins in Curve out of proportion and depositing and withdrawing a large amount of assets through harvest.
To protect users, we've pulled y pool and btc curve strategy funds to the vault
— Harvest Finance (@harvest_finance) October 26, 2020
如有後續消息,動區將持續為您更新。
📍相關報導📍
DeFi吸金騙局?耕收項目 UniCats 在合約嵌入惡意函式,誆走「20萬美元UNI」
資安月報|DeFi 詐騙、跑路頻發!9 月安全事件共 33 起,危害程度評級 HIGH
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
