Harvest被駭客盜走3400萬刀,為何DeFi安全事件層出不窮?

買賣虛擬貨幣

作者:OKEx

來源連結:https://www.8btc.com/media/662353

又一個DeFi專案不幸被駭客盯上了。

10 月 26 日,有使用者發現 DeFi 挖礦專案 Harvest.finance 疑似遭到駭客攻擊。駭客借用閃電貸,盜走近3400萬美元。

Harvest官方發推解釋稱,這次套利攻擊起源於一筆鉅額閃電貸,並多次操縱一個貨幣樂高(Curve y Pool)的價格,以耗盡另一個貨幣樂高(fUSDT、fUSDC)的資金。攻擊者隨後將資金轉換為renBTC並套現。和其他閃電貸攻擊一樣,攻擊者沒有給出響應時間,連續7分鐘進行攻擊。攻擊者以USDT和USDC的形式退回了247萬美元,這將按比例分配給受影響的儲戶。

受攻擊影響,AICoin行情顯示,Harvest代幣FARM 26日中午出現插針,暴跌近60%。

恐慌的使用者急於將資產撤出Harvest,另一方面,攻擊者頻繁的操作和套現行為,導致Uniswap和Curve的單日交易量創下了新高。據Debank資料顯示,截至10月27日,Harvest的鎖倉量同樣暴跌近60%,Uniswap和Curve的交易量卻直衝雲天。

損失慘重的Harvest懸賞10萬美金亡羊補牢,獎勵首位成功和攻擊者取得聯絡並幫助返還使用者資金的個人/團隊。專案方發推稱,除了持有被盜資金的BTC地址,還獲取了大量關於攻擊者的個人身份資訊,攻擊者在加密社羣頗為有名。

來源:twitter,OKEx Insights

開心農場不開心

Harvest.finance,聽這名字就知道它和Yearn.finance一樣,是一個DeFi收益聚合器。據官網介紹,Harvest可以自動從最新的DeFi協議中挖出最高的產量,並使用最新的挖礦技術最佳化獲得的產量。

fDAI,fUSDC和fWBTC是抵押在Harvest中的穩定幣,它們透過Harvest的演算法自動進行流動性挖礦。如果使用者存USDC到Harvest庫中,Harvest就會鑄造相應數目的fUSDC,使用者也可以隨時用它們贖回USDC。

Harvest的亮點主要是自動流動性挖礦和集中資金節省gas費,圖示是一輛行駛在農田中的拖拉機,有人形象地稱其為“開心農場”,恐怕這次事件讓Harvest開心不起來了。

來源:harvest.finance,OKEx Insights

本次攻擊駭客主要利用了去中心化交易所(DEX)Curve的自動做市商(AMM)和Harvest的fUSDT、fUSDC來實現套利,駭客先用無需質押的閃電貸借出大量USDC、USDT,然後透過在Curve上的交易改變這兩種幣的價格,最後利用USDC與fUSDC來回兌換的價差來實現套利。

DeFi成駭客“提款機”

Harvest當然不是第一個被攻擊的DeFi專案,可能也不會是最後一個。檢索新聞可以看到,僅近兩個月中就發生過多起DeFi駭客攻擊事件。

9月29日,由YFI創始人Andre Cronje參與開發的DeFi專案Eminence.finance因協議漏洞,被駭客使用閃電貸攻擊盜走1500萬枚DAI,駭客事後返還了800萬美元。Andre迴應稱,駭客利用的是協議本身一個簡單的漏洞,透過這個漏洞駭客增發了很多專案代幣EMN,隨後再將增發的 EMN 進行傾銷。

YFI的大熱讓Andre坐上幣圈神壇,EMN事件則給他的追隨者們潑了一盆冷水。相比之下,bZx遇到的駭客攻擊結果是比較理想的。

9月14日,DeFi 借貸協議 bZx 年內第三次遭到攻擊,由於程式碼重複事故導致共計損失價值超 800 萬的資產。兩天後, bZx釋出報告指出,丟失的資產已經全部找回,並已存放至團隊的錢包中,將恢復借貸池。另外,團隊向漏洞報告者MarcThelan支付了4.5萬美元的賞金,並準備和PeckShield制定一項計劃,以重新檢查該協議,在一些關鍵的區塊鏈資料指標上進行實時監控。

Chainlink的節點們就沒那麼幸運了,據The Block報道,八月底,九個 Chainlink節點運營商遭到所謂“垃圾郵件攻擊”,攻擊者從他們的“熱錢包”中獲取了大約700枚ETH。攻擊者透過傳送有效的價格請求,導致節點運營商不得不支付大量gas費。攻擊者抬高這些預言機上的gas費用價格迫使他們以更高成本鑄造用於支付gas費的代幣Chi,然後拋售Chi代幣來獲取ETH。

警惕DeFi安全風險

為什麼駭客鍾愛DeFi?究其原因,還是大量資金與尚不成熟的技術之間的矛盾。

今年是DeFi的崛起之年,新專案層出不窮,流動性挖礦更是吸引了大批投資者進場。但與此同時,DeFi專案現階段的技術難以兼顧去中心化本質和安全性、穩定性,也不乏部分專案為了趕上風口,帶著合約漏洞就匆忙上場,結果自然是便宜了駭客。

另一個原因是加密資產界所共有的,缺乏監管,自然也不受法律保護,無法對駭客追究法律責任。

無論什麼原因,最終承擔損失的還是DeFi投資者。建議大家首先不要將雞蛋放在一個籃子裡,除了DeFi之外還可以佈局CEX甚至傳統金融等資產,多元化投資;其次可以購買一些靠譜的DeFi保險產品。

最後,我們在參與DeFi專案前,不要只盯著高收益,雖然沒有計算機背景難以看懂程式碼,但可以動動手指查一查白皮書,以及智慧合約是否透過權威機構的審計。如OKEx CEO Jay Hao所說:“DeFi較為依賴智慧合約,協議上大量的交易基本都是依賴智慧合約自動執行,智慧合約就是DeFi協議中最重要的一個‘底層建築’,如果智慧合約出了問題,那麼影響將是毀滅性的。”

本文僅代表作者觀點,不代表世鏈財經官方立場

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;