北京時間本週一,有推特網友發現疑似有駭客透過閃電貸從Harvest Finance中鉅額套現。
隨後Harvest Finance官方釋出推特稱,駭客發起的此次經濟攻擊是透過Curve Y池進行的。為了保護使用者,其已經將Y池和BTC Curve策略資金存入Vault中,所有穩定幣和BTC資金都在Vault中(未在策略中部署),其他池不受影響。
對於這一安全事件,慢霧安全團隊覆盤了駭客的攻擊手段:攻擊者透過以太坊匿名轉賬平臺Tornado.cash轉入20 ETH作為後續攻擊手續費,然後透過 UniswapV2閃電貸借出鉅額USDC與USDT。
之後,攻擊者先透過Curve將USDT換成USDC,這導致了Curve yUSDC池中的investedUnderlyingBalance引數變小,隨後攻擊者透過Harvest存入鉅額USDC,同時鑄出fUSDC,而計算鑄出fUSDC數量依賴於Curve yUSDC池的investedUnderlyingBalance引數,這導致鑄出了更多的fUSDC。
完成這一步之後,攻擊者透過Curve把USDC換回USDT,這時investedUnderlyingBalance引數恢復正常,攻擊者只需歸還fUSDC即可獲得比充值時更多的 USDC。透過重複這一過程,攻擊者可以持續獲利。
隨著DeFi應用的發展,DeFi安全問題正在成為不可忽視的問題。
據《比推》此前報道,今年初,兩名駭客利用閃電貸攻擊了保證金交易協議bZx,套利金額達到100萬美元;隨後在今年6月,Balancer流動性池再次遭閃電貸攻擊,損失達50萬美元。
閃電貸概念最早由Marble協議於2018年提出,旨在透過智慧化合約完成的零風險貸款。智慧合約平臺一次性處理交易,所以一次交易的所有元素是批處理執行的,如果借款人不能償還貸款,整個交易就會回滾,就像貸款根本沒發生一樣。
閃電貸不能收取傳統意義上的利息,其最初的營銷標籤是主要用於套利交易。但是很快駭客發現可以用其進行經濟攻擊,攻擊者可以使用閃電貸獲得攻擊所需要大量的前置資金,貸款也使得這些用於攻擊的資金與駭客本身沒有直接關聯,使得難以追蹤駭客的身份。
在Harvest Finance遭攻擊這一事件中,駭客正是利用了這兩點發起了精心設計的攻擊。目前Harvest Finance仍在追查駭客資訊,其官方推特稱,將公開懸賞10萬美金獎勵首位成功和攻擊者取得聯絡並幫助返還使用者資金的個人或團隊。
截止發稿時為止,Harvest Finance的鎖定金額價值為5.4億美元,相比一天前下跌了近50%。
