DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒用户撤离_BTC:lbchain

10月26日消息,锁定资金量超10亿美元的DeFi项目HarvestFinance被曝遭黑客攻击,据称已造成大约2400万美元的损失,很多参与者自称损失了15%以上的资金,受此消息影响,Harvest的治理代币FARM一度暴跌70%以上。

而Harvest项目方则发布推文解释称:

“这次攻击和其他套利经济攻击一样,缘于一笔大额的闪电贷,攻击者多次操纵curvey池以提取fUSDT和fUSDC资金,随后将资金转换成renBTC,并退出为BTC。”此外,Harvest项目方还表示:

“我们正致力于减轻对稳定币和BTC池的攻击,一旦有更多细节可用,我们将会进行实时更新。”而据DeFi之道提供的最新消息显示,黑客以USDT和USDC的形式归还了大约247.8万美元的资金,约占到被盗资金量的10%,而Harvest项目方则表示随后会将这些资金归还给受影响的用户。?

DeFi社区炸锅,知名KOL提醒用户应撤离Harvest

目前,关于这次Harvest攻击的信息依旧非常有限,而DeFi社区的知名参与者则发出提醒称,Harvest用户应尽快将其资金从该项目的合约中提取出来。

Outlier Ventures联合NewOrder DAO推出的DeFi Base Camp加速器公布最新一期入选项目:金色财经报道,Outlier Ventures联合DeFi协议免许可孵化器NewOrderDAO推出的DeFi Base Camp加速器公布最新一期入选项目包括Swipelux、EventHorizon、Helix、QiProtocol、31Third、SYNTHR、Coaction、Rampnalysis。[2023/5/22 15:19:21]

截至发稿时,Harvest合约锁定的资金已骤降至5.9亿美元,较24小时之前下滑42.41%。

而在这次攻击发生的前一天,DeFi观察者ChrisBlec则揭示了Harvest项目所存在的巨大风险,其提到称,Harvest项目合约所锁定的10多亿美元资金,完全受匿名开发者的控制,并且开发团队存在刻意隐瞒这一事实的嫌疑。

以下是译文内容:

DeFi的发展太快,要跟上它的节奏实在太难,即使是我也是如此。

但这并不意味着我们无法保证安全,并且我们不必成为开发者就可以做到这一点。

比特币矿企Core Scientific7月出售1975枚BTC,超7月开采量754枚:8月5日消息,比特币矿企Core Scientific于7月售出1975枚BTC,7月开采量为1221枚,超出开采量754枚。资金将用于增加数据中心相关投资,并向比特大陆支付2021年订购的100,000台采矿设备。Core Scientific资产负债表上仍持有1,205个比特币和约8300万美元的现金。

此前消息,比特币矿企Clean Spark于7月售出426枚BTC,超7月开采量42枚。比特币矿企Bitfarms于7月售出1623枚BTC,超7月开采量1123枚。(CoinDesk)[2022/8/6 12:05:42]

在这篇文章中,我将分享自己发现HarvestFinance存在高危管理密钥风险的步骤,而这一事实危及到了用户的资金。

就在昨天,当我查看DeFiPulse,并看到排行榜中排名第四的项目HarvestFinance时,其锁定的资金量已超过了10亿美元,但我发现自己对这个项目并不了解。

我第一次听说HarvestFinance,是他们为许多GitcoinGrants参与者捐款50,000美元,当时其宣布这一消息时,我确实有关注到它。

区块链基础设施提供商Propel与Web3平台StarryNift达成战略合作:7月17日消息,区块链基础设施解决方案平台Propel与Web3平台和Launchpad StarryNift达成战略合作。[2022/7/17 2:18:53]

两天前,我突然注意到一条关于Harvest锁定资金量突破10亿美元的推文。

看到这一点,我记下了要检查的内容。Harvest是目前市场上众多的收益农耕项目之一,我还没有时间去研究每一个,但是突破10亿美元的项目,无疑会让我产生兴趣。

我的第一站就是看他们的网站,找到它并不难,他们的官方Twitter介绍里就有链接。

这是一个典型的收益农耕用户界面,在点击了一段时间后,我发现他们接受了多个代币存款,包括UniswapLP代币,我开始想知道,这个项目的去中心化程度到底有多高。

这一部分实际上非常重要,因为很少有DeFi用户会这么干。任何时候,当一个智能合约接受存款时,你首先要问的问题是“这个产品的去中心化程度如何?资金是如何被持有的?有管理密钥吗?如果有的话,它能够做什么?”

Coinbase允许用户通过DAI赚取DeFi收益:金色财经报道,Coinbase周四宣布,70多个国家/地区的合格客户现在可以通过DeFi获得收益,而无需任何费用、锁定或设置麻烦。初步支持与美元挂钩稳定币DAI,客户的DAI资产将存放在DeFi协议CompoundFinance中,提供的年化收益率根据Compound的费率而变化,并会自动更新以反映市场波动。Compound费率是可变的,例如10月份DAI的APY在2.83%和5.39%之间波动。公告指出,这些更高利率既反映了获得全球流动性独特途径,也反映了DeFi可能带来的风险增加。尽管Coinbase会定期监控这些协议,但我们无法保证不会出现潜在损失。Coinbase表示,该服务目前不适用于美国用户,未来将开放更多代币和DeFi协议的支持。[2021/12/10 7:29:11]

一旦这些问题出现在你的脑海中,那你就需要在存款之前得到答案。如果你在没有答案的情况下就存款,那你就是在。

我开始点击他们的FAQ和Wiki标签,直到找到一些线索。首先,我看到Harvest的“技术资料”里提到了时间锁。

如你所见,在“技术资料”中没有提及关于管理密钥的其他内容。

李启威:DeFi未来会有很多问题 对其发展并不十分乐观:7月24日消息,莱特币创始人李启威在视频采访中表示,对DeFi并没有很激动。他认为DeFi未来会有很多问题,如果真正地去中心化,系统里一旦出现Bug就不能撤销重来。如果在中心化金融里,银行出了什么事,会得到保险赔偿;在股票市场,出了大事也可以回滚。而把大量的钱放在DeFi系统的话,则不能这么做。市场上也看到过很多黑客事件,而当这些事件发生时,因为去中心化,所以人们什么都做不了。而如果DeFi不那么去中心化,有后门可以把钱追回来,那么DeFi存在也什么意义。这些问题是没有办法解决的。要么选择中心化的安全,要么选择去中心化的不安全。最后在去中心化金融系统里,会有数百万个智能合约相互关联,可能出现漏洞的代码面积给非常大,几乎不可能无懈可击,所以被盗事件几乎不会停止。因此,李启威称,对DeFi未来的发展并不十分乐观。与此同时,李启威还表示,LINK、ADA并没有很去中心化,其背后的创造者持有了太多币,而且他们对项目几乎有完全性的控制。(新币刊)[2020/7/24]

什么是时间锁?它是一种智能合约,它为以太坊管理密钥调用的任何交易添加延迟,从而让用户有时间检查交易,并及时取出自己的资金。

也就是说,如果没有某种密钥,那就根本用不到时间锁。

所以当我看到时间锁这个词,而技术资料中没有提及管理密钥或它能够做什么时,我知道我必须更深入地调查这个项目。

在他们的Wiki页面上,我发现了一个名为“HarvestSecurity”的链接。通常,当你在DeFi产品网站上看到一个叫做“Security”的页面时,你一定会找到一些审计报告。而我确实也看到了。

HarvestFinance在其网站上提供了两份审计报告,这两项审计都是在9月份完成的,分别由知名的安全公司Peckshield和HaechiLabs所提供。

首先,我点击Peckshield审计的链接,然后我看到的是这个:

显然,这不是什么好事。

我只花了3秒钟就注意到URL是不正确的,以及“https://github.com…”之前的所有内容都应被删除。

在继续之前,让我问你,作为一名非开发人员,你会在这里停下来放弃吗?还是说,你会花点时间查看URL并尝试找出问题所在?

我不知道这是否是Harvest团队无意犯的错误,还是其故意阻止他人查看审计报告的一种方式。但是,我确实知道,用户必须要勤奋地寻找他们需要的信息,以作出明智的决定-即使这些信息被隐藏了起来!

所以,我修改了URL,并得到了Peckshield的实际审计报告:https://github.com/harvest-finance/harvest/blob/master/audits/PeckShield-Harvest.pdf

看起来很吓人,不是吗?

好吧,不一定如此,你无需成为开发者即可查看审计报告,并获得一些非常重要的,有关智能合约系统的线索。

打开审计报告时,我要做的第一件事,就是搜索提及管理密钥或“治理”的内容。

这很容易就能找到。

让我们看第42页的内容,如你所见,Peckshield使用了通俗易懂的英语,其向读者表明,Harvest项目的治理职责高度中心化且非常不稳定。

“当前由一个EOA账户所控制,这引起了社区的必要关注。”简单说,Harvest项目的资金,完全是由一个单一的以太坊账户所控制的,它并不涉及什么DAO,也没有多重签名。

在审核结果中,Peckshield给出了一个表,其中所有的资金都是由同一个地址所控制

阅读审计报告时,请务必记住,项目方通常要为审计公司支付费用,而当你在审计报告中看到类似这种表时,实际上代表审计公司在通知你,该项目实际存在一些非常真实的危险,审计公司希望在不完全激怒客户的情况下尽可能地诚实。接下来,查看HaechiLabs的审计报告:https://github.com/harvest-finance/harvest/blob/master/audits/Haechi-Harvest.pdf

我再次扫描了目录,然后看到了这个重要的提醒:

让我们再仔细看看。

这意味着,这些智能合约中所持有的10亿美元资金,开发者可随时将它们转移走。

管理密钥对于DeFi来说并不是什么新现象,而且HarvestFinance并不是唯一使用它的项目。但是,对于一个掌握10亿美金巨额资金的项目而言,管理密钥的存在是令人感到害怕的。

因此,我问自己的下一个问题是:

“是谁拥有这个功能非常强大的管理密钥?让我们和那个人谈谈。”我回到了HarvestFinance网站和他们的Wiki页面,然后找到了“常见问题”部分内容,这给了我答案。

不,上帝,请不要告诉我,这个掌握着11亿美元资金管理密钥的人竟然是一个匿名开发者。

上帝:对不起,这是事实。

该死的。

这个事实让我感到震惊,10亿美元由一个管理密钥控制已经够糟糕了,更糟糕的是,掌握这个密钥的人是在未知国家/地区的陌生人,这一事实将其推向了另一个新高度。

所以,我要大声告诉大家:

如你所见,我确实了解到,由于审计报告已经完成,Harvest匿名开发者添加了一个前面所提到的时间锁,这是一个只有12个小时的时间锁,它不足以为用户提供提供安全保护。

在找到此信息之后,合理的下一步是尝试从HarvestFinance社区和开发者那获取更多的信息,但情况不是很好,我因为询问谁持有管理密钥而遭到语言攻击。HarvestFinance团队禁止我加入他们的Discord社区,并在Twitter上将我屏蔽。

现在,我不仅知道HarvestFinance所持有的资金处于非常危险和不安全的境地,而且我也知道他们的匿名开发者对质疑声持抵制态度,这些对于投资者来说都是不利因素。

这种情况将来会改变吗?如果有一天该项目的匿名开发者充分地分散了当前的管理密钥,那么它可能再值得一看。

但在那之前呢?这是一个不可接触的DeFi产品。

将以上这些步骤应用到你感兴趣的每一个DeFi产品上,你将能够作为一个非开发人员而生存下来,祝你好运!

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:0ms0-4:27ms