一文梳理Harvest.finance事件:到底发生了什么?

10月26日,有用户发现DeFi挖矿项目?Harvest.finance疑似遭到黑客攻击。黑客借用闪电贷,获利近2400万美元。随后市场信息纷纷涌出,由于涉及金额巨大,很快引起了国内外加密社区的猜想。律动BlockBeats根据已知信息以及官方回复,将此事件进行一个简单的梳理,帮助用户了解和跟进最新情况。

黑客到底是如何操作的?

律动观察到,黑客对于合约和匿名操作十分熟悉,在开始操作之前似乎还进行试验。黑客使用的初始ETH是从以太坊隐私交易平台Tornado.cash转出的。操作的Hash为:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。HarvestFinance官方称,像其他套利经济攻击一样,此次攻击起源于一笔巨额闪电贷。攻击者通过多次操纵CurveY池的价格,以耗尽Harvest的fUSDT、fUSDC池的资金。攻击者随后将资金转换为renBTC并套现。像其他闪电贷攻击操作一样,攻击者动作迅速,没有给平台反应的时间,连续7分钟端到端地进行攻击。攻击者以USDT和USDC的形式向开发者退回2478549.94美元。Harvest表示这笔资金将通过快照按比例分配给受影响的储户。

中国信通院副院长:未来区块链三大发展方向主要在于技术应用、应用深化和监管体系:9月11日消息,“2021中国(北京)数字金融论坛”近日在京举办,中国信息通信研究院副院长魏亮则指出,未来区块链三大发展方向主要在于技术应用、应用深化和监管体系。魏亮认为,技术创新方面,共识算法的优化、网络结构的优化以及互操作性的提升,能够使整个区块链处理能力更加提升,连接的密度增加,互联互通能够更好地实现,同时能够围绕核心技术进行创新的突破。

此外,在应用深化方面,将重点发展金融科技供应链的管理、政务服务等。在可信存证方面,会以可信存证方面的基础为基础,向价值链转移进一步拓展。“联盟治理均衡多方利益能够实现互惠共赢,同时兼顾商业利益与合规性,同时要防范重大的风险。(中国新闻网)[2021/9/12 23:18:40]

中国信通院续合元:区块链不是万能技术,需与其他技术结合探索:中国信息通信研究院副总工程师续合元表示,区块链不是一种万能的技术,它只是解决其中一部分问题的能力,所以一定要和其他信息通信技术融合起来。不同机构、不同行业独立建设的区块链很可能形成新的“数据孤岛”,而互操作技术能够打通割裂的区块链系统,形成更大范围的价值互联,让区块链发挥更大作用。目前已有超过半数的企业在区块链互联互通领域有所布局,互操作技术正逐渐成为企业研究的重点。而与隐私计算的整合应用,将更好地消除企业对于数据上链后的隐私问题顾虑,有利于行业应用深入发展。此外,续合元认为,近期区块链产业发展主要依靠政府政策和项目支持,但随着部分领域商业模式逐步明确,产业发展将由政府驱动切换至商业驱动。(每日经济新闻)[2020/10/30]

HarvestFinance给出的信息似乎与加密交易员们的推测一致。aelf的创始人马昊伯发表了自己的推测。首先需要了解的是,闪电借贷可以无抵押借到很多钱,不管是有多少滑点的AMM,都是有滑点的。而且Curve的曲线虽然在两个币种之间的滑点比较低,但是到极端情况下还是会有不可控的事件发生。马昊伯猜测:黑客可能是利用闪电借贷借了一大笔钱,然后把curve的价格搞到十分离谱,然后再到Harvest按照不合适的价格进行单边充值,然后利用Curve将钱赎回。这样一来Harvest亏了,黑客就赚到了,Curve也因为这波操作价格产生波动。而Curve的所谓亏损其实和Uniswap的LP亏损一样,是一种无偿损失,价格会很快恢复。」

声音 | 中国信通院孙克:区块链技术和融合大部分还处在不完善的阶段:据21世纪经济报道消息,关于区块链技术的风险,中国信通院政策与经济研究所数字经济部主任孙克认为,一是去中心化的分布式共享账本带来了治理主体分散的问题;二是自动执行的智能合约带来了其法律有效性的问题;三是区块链难以篡改的特性带来的数据隐私和内容治理问题;四是激励机制与数字资产带来的金融治理问题。此外,区块链还有其技术本身风险如中心悖论、密钥丢失风险等以及融合的风险如经济社会风险、金融融合的风险。现在的技术和融合大部分还处在不完善的阶段。对此,孙克提出建议:技术方面,要多方协同推进,加强关键技术研究,制定人才和标准;应用方面,以点带面探索,加速行业应用推进,引导好应用的真实落地;监管层面,近期远期结合,开展审慎包容监管,防范潜在风险。[2019/12/23]

声音 | 中国信息通信研究院金键:比特币不应该被打击,它有资产上链的过程:12月7日,由中国科学院学部主办,中国信息通信研究院等单位联合支持的“区块链技术与应用”科学与技术前沿论坛在深圳举行。中国信息通信研究院研究员金键表示,我们认为比特币不应该被打击,它有资产上链的过程。有人说区块链3.0到底是什么?我们怎么解决这个问题?或者怎么解决让更多的老百姓对区块链的需求,我这里说到一点,就是我们要让更多的资产上链。所谓的上链其实是资产数字化的能力,所以我想说的第一点就是,为了构建区块链完整安全的理想的数字空间,ID为资产上链提供了机制和数据模型,可以促进链上资产上链,一旦有真正的资产进入区块链上,从而解决区块链的规模刚需问题。就像那么多信息新闻发布到互联网上,互联网就变成了老百姓消费信息刚性的需求,所以我想说第一点是ID一定会促进上链的关键能力。[2019/12/7]

后续影响

Harvest.finance的官方推特在10月26日12点30分左右表示:「我们正在积极致力于减轻对稳定币池和BTC池的攻击问题。经济攻击是通过CurveY池进行的,通过拉高CurveY池流动性,导致收益率暴涨,随后通过harvest进行大量存取款操作。为了保护用户,我们已经把100%的稳定币和BTCCurve策略基金放到了保险库中。同时为了保护用户,HarvestFinance正在阻止用户向稳定币和BTC保险库中充值,现有存款将继续赚取FARM。」

受此事件影响,不少用户担心资产安全,纷纷提现转账,加上黑客操作及套现行为,根据Debank数据显示,去中心化交易平台的单日成交量创历史新高,超过30亿美元。同时,律动发现,Harvest和Curve的总锁仓量开始下降,Curve24小时锁仓量下跌26%,Harvest24小时锁仓量下跌46%。

用户应该怎么办?

由于黑客一直在通过RenBTC进行兑现。截止发稿时,HarvestFinance官方已宣布通过与RenProtocol合作,获取相关RenBTC提现地址。并公布了通过RenProtocol导出的BTC地址,现在正在寻求币安、火币、OKEx和Coinbase等交易平台的帮助,希望可以冻结相关地址。那么在事件并未完全清晰的情况下,用户应该如何操作?对此,神鱼在内的多个业内人士建议用户先将资金提出,以确保资金安全。另外官方此前已建议用户暂停向稳定币池以及BTC保险池进行充值。

网友总结了黑客的这一系列操作,都对那些平台或个人产生了收入。目前来看黑客获利2400万美元左右;通过Uniswap进行套现,UniswapLP收入600万美元;黑客向Harvest的开发者返还了247万余美元;通过Curve的流动性池完成的这一波套利操作,因此CurveLP大约可获得100万美元收入;调用合约、转账等产生的ETHGas手续费10万美元;最后通过RenBTC兑现,RenVM手续费2万美元。

目前HarvestFinance官方仍在对此事进行调查。Harvest团队表示,除了套现的BTC地址外,社区中流传着大量关于攻击者的信息,将悬赏10万美元寻找攻击者。此次悬赏仅仅是出于对平台用户资金的考虑,希望攻击者能将资金打回开发者地址,团队尊敬攻击者的技巧和聪明才智,不会对攻击者有其他方面的干扰。?

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:0ms0-9:622ms