安基网 首页 资讯 安全报 查看内容

DeFi项目Harvest惨遭黑客攻击 2400万美金被盗

2020-10-27 11:46| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 昨天整个币圈最轰动的事情,大概就是Harvest.Finance遭到黑客攻击这件事了。  在昨天中午的时候,网上突然爆出消息说defi项目Harvest.Finance开心农场疑似遭到黑客攻击。  消息一出,便引起了整个币圈的轰动。毕 ...

昨天整个币圈最轰动的事情,大概就是Harvest.Finance遭到黑客攻击这件事了。

  在昨天中午的时候,网上突然爆出消息说defi项目Harvest.Finance开心农场疑似遭到黑客攻击。

  消息一出,便引起了整个币圈的轰动。毕竟这是地方项目至今第1次出现大规模被黑客攻击的情况。

  在介绍这次黑客攻击事件之前,首先我先来向大家介绍一下这个暴雷的Harvest项目究竟是一个什么项目。Harvest和目前市面上的很多Defi项目类似,是一个机枪池,只要大家把代币存进去,Harvest就会拿着大家的资金去投资赚钱。

  可是目前市面上的Defi项目那么多,凭什么投资者要选择Harvest呢?为了吸引大家的注意,Harvest在帮大家赚钱的同时,还会给大家发放自己开发的代币Farm。这样一来,投资Harvest的用户不但能够获得平台的投资收益,而且还可以拿到代币Farm。质押一次,两种收益,这对谁来说都是一个不小的诱惑。

  正是因为这个不小的诱惑,让Harvest的锁仓资金在十月中旬突破了10亿美金。

  了解完Harvest之后,我们再来看看昨天黑客是如何攻击赚钱的。

  最开始的时候,这位黑客通过 Tornado.cash 转入 20ETH 作为攻击的手续费。

  准备就绪后,黑客通过 UniswapV2 闪电贷,从系统当中借出巨额的 USDC 与 USDT。

  在这,我来解释一下什么叫做闪电贷。闪电贷是 DeFi 生态的一个新名词。我们知道通过DeFi借钱,需要超额质押。所谓的超额质押就是,如果我想借50块钱,那么我必须在DeFi平台上质押大于50块钱的资产,才能借出50块钱。这种模式导致DeFi资金的利用率十分低下。

  于是就有人设计出来了“闪电贷”。闪电贷允许借款人无需抵押资产即可实现借贷,从而极大提高资金利用率。

  那么闪电贷是如何实现无抵押借贷的呢?

  如果一个人要进行闪电贷,那么他必须满足一个限制条件。这就是他必须在一次交易中完成贷款-操作-还款的完整操作。

  如果还款操作最终没有被完成,即贷款者没有还钱,那么之前的整个交易就会被回滚。回滚之后,就相当于这笔借款从没发生过。

  黑客通过闪电贷借出巨额的 USDC 与 USDT之后,就通过 Curve的exchange_underlying函数将USDT换成 USDC。

  我们知道,像curve这样的稳定币池,它和Uni自动做市的原理是一样的。假设curve的稳定币池里有10000个USDC和10000个USDT,此时USDC和USDT的价格比值是1:1.如果突然有人用大量的USDC兑换USDT。那么就会导致池中的USDT因为供应量不足而升值,然后会出现USDC和USDT的价格比值变成1:2这种情况。

  利用这个原理,随后黑客通过 Harvest 的 deposit 将巨额USDC充值进 Vault 中,充值的同时Harvest的Vault 将铸出 fUSDC。之后,黑客再通过Curve把USDC换成 USDT ,将失衡的价格恢复正常。

  最后,黑客只需要把 fUSDC 归还给 Vault 就可以获得比充值时更多的 USDC。然后,黑客通过重复操作,实现持续获利。据说昨天黑客利用这种操作获得了2400万美金的利润。

  正是因为这种情况的发生,让在Harvest上做市的投资者普遍损失了15%的本金。

  受此消息的影响,Harvest Finance的代币FARM的价格也在短时间内跌去了65%。为了本金安全,投资者们更是从平台上撤出了约3.5亿美元的资本。

  事情发生后,Harvest Finance在推特上公开表示将悬赏10万美金奖励给首位成功和黑客取得联系并帮助返还用户资金的人。

  另外,Harvest Finance表示,他们已经掌握了黑客持有资金的BTC地址以及大量关于黑客个人身份的信息。

  Harvest Finance甚至喊话黑客:“您已经证明了自己的观点,如果可以将资金退回,社区将不胜感激”。

  由于事发突然,Harvest Finance也进入了紧急阶段。Harvest Finance表示,他们将在事发后接下来的16个小时内持续发布事后报告,并针对后面可能发生的危机制定应对策略。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.jinse.com/news/blockchain/888960.html

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部