總鎖定價值(TVL)才剛剛突破 10 億美元大關的 DeFi 協議 Harvest Finance,在昨(26)日突遇閃電貸攻擊(Flash Loan),不僅被取走近 2,400 萬美元的資金,還導致該協議出現嚴重的「擠兌」現象。一天過去,Harvest Finance 攻擊事件又有什麼後續發展呢?
(前情提要:10億美元危險了!DeFi超級明星「Harvest」遭遇閃電貸,Farm一小時暴跌60%)
明星項目 Harvest Finance 週一遭到了閃電貸攻擊,攻擊者領走約 2,400 萬美元的資金,項目幣 $FARM 更大跌 60% 以上。目前官方已經發出了通緝令,懸賞金額高達 10 萬美元,誓要將這位「廣為人知」的攻擊者緝拿歸案。
根據 Harvest Finance 稍早發布的事件報告,這起事件發生在台北時間昨日上午約 10:30 左右。攻擊者首先在 Uniswap 上透過閃電貸借走大量地 USDC 和 USDT,接著存入 Curve 的 Y 池造成嚴重滑價,並藉由反覆套利抽走逾 2,400 萬美元的穩定幣。
攻擊者隨後將資金轉換成錨定比特幣(BTC)的 RenBTC,並利用以太坊上的混幣器 Tornado 隱藏鏈上蹤跡,再將資金轉移至 7 個比特幣錢包,其中一些還放入了交易所幣安(Binance),另有一部分約 250 萬美元則返還給 Harvest Finance。
總和起來,Harvest Finance 協議共損失約 3,380 萬美元,約佔 TVL 的 3.2%。
值得注意的是,就如推特 KOL @bneiluj 所說的那樣,此次事件並非駭客攻擊,而是一場純粹的套利操作。
No hacker.Just a simple* $24M (0x53f) juicy arb on @harvest_finance
$50M USDC flash loan @UniswapProtocol
Swap $11M (USDC/USDT) @CurveFinance
~61M on fUSDT Vault
Swap $11M USDT/USDC yUSDT
Withdraw $61M with $0.5M profit
Repeat & clean into @TornadoCashhttps://t.co/nFTuyU3s6w pic.twitter.com/2oXQ2PsY32— Julien Bouteloup (@bneiluj) October 26, 2020
此次事件的爆發對 Harvest Finance 造成沈重的打擊。DeFi Pulse 數據顯示,Harvest Finance 的 TVL 在短短一天內蒸發了近 5.7 億美元,跌幅達 57% 以上;根據 CoinGecko 數據,$FARM 也從近 240 美元暴跌至 90 美元左右。
掌握攻擊者行蹤
雖然攻擊者透過非正當手段以迅雷不及掩耳之勢盜走了大筆資金,但 Harvest Finance 也很快地與 RenBTC 項目方展開合作,不僅追蹤到了存放被駭資金的攻擊者錢包,還疑似掌握了大量攻擊者的身份訊息,並以此威脅攻擊者歸還資金。
除了找到存有被盜資金的比特幣地址外,我們目前也已經掌握了大量攻擊者的個人身份資訊,它是一位在加密貨幣社群內廣為人知的人物。我們將懸賞 10 萬美元的獎金,給第一位聯絡到該攻擊者的個人或團隊。
In addition to the BTC addresses which hold the funds, there is now a significant amount of personally identifiable information on the attacker, who is well-known in the crypto community.
We are putting out a 100k bounty for the first person or team to reach out to the attacker
— Harvest Finance (@harvest_finance) October 26, 2020
根據 Harvest Finance 的公告,如果公告發出後的 36 小時內找出攻擊者,獎金將提高到 40 萬美元。
Harvest Finance 強調,他們對於攻擊者的本身並不感興趣,只要求它能夠將資金返還給用戶。
我們沒有興趣肉搜攻擊者的身份,人們應該保有自己的隱私。你(攻擊者)已經充分證明了你的觀點,如果你能夠將資金返還給用戶,那將會獲得社群大力的讚揚,然後我們就可以繼續走下去了 ⋯⋯ 我們在工程上出現了失誤,我們負有責任。但是,現在有數千人正因此受到牽連。
We made an engineering mistake, we own up to it. Thousands of people are acting as collateral damage
— Harvest Finance (@harvest_finance) October 26, 2020
Harvest Finance 也在 Medium 上公布了後續的處理事宜。
首先,官方已經從資金池中撤回了大部分的資金,因此除了 USDC、USDT 以外,其餘資產都完好無損地在金庫中受到保護。另外,原計劃在今天執行的智能合約更新,也將在官方對安全性做重新評估後才能完成,以避免後續再出現類似事件。
與此同時,Harvest Finance 也提供了目前擬定的幾個補救辦法,包括限制閃電貸攻擊的能力、為套利操作設置更嚴格的機制、引入預言機系統等。關於受害者的補償,官方將先依比例發放攻擊者退還的 250 萬美元,並透過快照確定受害者的損失。
📍相關報導📍
安全專欄|DeFi 明星項目 Harvest 遭駭 2400 萬美元,攻擊細節簡單分析
YFI一週重跌37%、逼近16000!因 Andre Cronje 新項目「Eminence遭駭」?
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
