区块链新闻
-
全球化与合规双驱动:BYDFi正式加入韩国CODEVASP联盟
BYDFi加密货币交易所于2024年11月27日完成了里程碑式的合规突破—正式入驻韩国CODEVASP联盟。此举不仅大大提升了BYDFi在韩国市场的合规可信度,也展现了平台在国际化加密货币交易所合规领域上的持续努力。与此同时...
-
品牌营销狂欢,卡塔尔世界杯Candy Club准备怎么玩?
2022年卡塔尔世界杯倒计时不足一个月,各大品牌今年的营销大战已提前开始,先比赛一步进入火热的“备战”状态。 CandyClub.io,全球首家加密币社交在线游戏平台,以自己独特的方式加入到这场世界杯商业狂欢,推出...
-
MPC引爆信息安全全生态
区块链是一种链式结构,是将数据块遵循时间顺序组合并与密码学、共识机制、智能合约等技术结合所形成的一种去中心化的公共账簿技术。区块链技术极大限度弥补了传统技术数据容易被篡改盗用和真实性不足等问题,可以...
区块链应用创新
-
ATK全球震撼开启,文娱产业重获新生
2020年初,随着一场新冠肺炎的全球蔓延,实体行业遭遇经营压力和瓶颈。然而,疫情之下,区块链行业却逆势增长,有统计数据显示,2020年2月,全球披露的区块链应用项目明显增多,环比增长27.6%。区块链技术应用的...
区块链技术创新
-
南卡罗来纳州参议院将区块链视为关键的新兴技术
南卡罗来纳州参议院通过了一项决议,承认区块链技术的潜力。 该州对新兴技术的新推动 该法案被称为“参议院决议案,以承认新兴的区块链技术的重要性,并呼吁南卡罗来纳州的居民加入以鼓励在我们州...
深度分析Harvest到底发生了什么
发布时间:2020/10/27 区块链新闻 浏览:441
10月26日,总锁仓量超过10亿美元的DeFi项目Harvest Finance曝出遭到黑客攻击,已造成大约2400万美元的损失,很多参与者自称损失了15%以上的资金。受此消息影响,Harvest的治理代币FARM一度暴跌70%以上。
对此,DeFi领域的知名参与者建议用户先将资金提出,以确保资金安全。另外官方此前已建议用户暂停向稳定币池以及BTC保险池进行充值。
截至发稿时,Harvest合约锁定的资金量已骤降至5.99亿美元,较24小时之前下滑46.42%。
而在此次攻击发生的前一天,DeFi观察者Chris Blec刚刚揭示了Harvest项目存在巨大的风险:该项目合约锁定的10多亿美元资金完全受匿名开发者的控制,并且开发团队存在刻意隐瞒这一事实的嫌疑。
aelf创始人兼CEO马昊伯针对此事发表了自己的推测:首先需要了解的是,闪电借贷可以无抵押借到很多钱,不管是有多少滑点的AMM,都是有滑点的。而且Curve的曲线虽然在两个币种之间的滑点比较低,但是到极端情况下还是会有不可控的事件发生。
马昊伯猜测,黑客可能是利用闪电借贷借了一大笔钱,然后把Curve的价格搞到十分离谱,然后再到Harvest按照不合适的价格进行单边充值(亏钱的情况下充值),然后利用 Curve 将钱赎回。这样一来 Harvest 亏了,黑客就赚了,Curve 也因为这波操作价格产生波动。而 Curve 的所谓亏损其实和 Uniswap 的 LP 亏损一样,是一种无常损失,价格会很快恢复。
黑客到底是如何操作的?
像其他闪电贷攻击操作一样,攻击者动作迅速,没有给平台反映的时间,连续 7 分钟端到端地进行攻击。
1.攻击者到Uniswap USDT-ETH LP合约借了5000w USDT
2.在curve合约用11,425,651.360209USDC兑换11,407,812.062025USDT,通过买入大量USDT改变curve的兑换价格,比如能够使1 USDT = 1.00000x USDC 变为 1 USDT = 11,445,785.907417/11,437,077.011569 = 1.00076146168 USDC
3.在fUSDT合约抵押60,666,288.631146USDT获取持币凭证71,668,595.794204 fUSDT,向harvest充值,harvest会自动向curve提供流动性
4.在curve合约用11,437,077.011569 USDT兑换11,445,785.907417 USDC,前面的操作使得curve的价格变为了1 USDT = 1.00076146168 USDC,然后黑客开始用少量的USDT换出了更多的USDC
5.在fUSDT合约通过第3步获取的71,668,595.794204 fUSDT 赎回61,093,558.168153 USDT,这个步骤表明,黑客已经成功的进行了一次套利,获取了61,093,558.168153 USDT – 60,666,288.631146USDT = 427269.537007 USDT
我们看这个利润是哪里来的呢,很明显是harvest在高位在curve从一个错误的方向添加了流动性引起。也就是curve的原始lp没有受到任何损失,黑客获取的是通过让60,666,288.631146USDT 亏损产生的利润。
重复2-5步骤
6.在curve合约用11,425,651.360209USDC兑换11,407,840.0888USDT
7.在fUSDT合约抵押61,064,321.245384 USDT获取持币持币凭证 72,458,553.719987 fUSDT
8.在curve合约用11,437,077.011569 USDT兑换11,445,757.818914 USDC
9.在fUSDT合约通过第7步获取的72,458,553.719987 fUSDT 赎回61,489,849.847749 USDT
重复2-5步骤
10.在curve合约用11,425,651.360209 USDC兑换11,407,868.045888USDT
11.在fUSDT合约抵押61,460,640.882068 USDT获取持币持币凭证 73,252,241.779134 fUSDT
12.在curve合约用11,437,077.011569 USDT兑换11,445,729.800332 USDC
13.在fUSDT合约通过第11步获取的73,252,241.779134 fUSDT 赎回61,884,410.538009 USDT
14.还给Uniswap USDT-ETH LP合约 50,165,496.489468USDT
到此完成整个交易
(注:表格中列出的收益为一笔交易的收益)
此次攻击主要是Harvest Finance的fToken(fUSDC、fUSDT…) 在铸币时采用的是Curve y池中的报价(即使用Curve作为喂价来源),导致攻击者可以通过巨额兑换操控预言机的价格来控制Harvest Finance中fToken的铸币数量,从而使攻击者有利可图。
对其他项目的警示/安全审计的重要性
在区块链的安全事件中,大多都是由于源代码存在漏洞使得黑客趁虚而入。智能合约受到区块链本身保护,所以智能合约代码可以最大限度的开源和让人阅读。但是代码的公开性使得黑客容易掌握代码的缺陷,进一步利用代码缺陷触发条件改变智能合约执行结果,使得区块链项目存在巨大的经济隐患。所以智能合约代码的开源性需要代码的高可靠性,这种可靠性要求100%正确。
因此,其他开源项目应当始终把网络安全性列为最高优先级,努力为用户提供一个够安全、高性能、体验佳、可信赖的区块链基础设施。