Hacker verbrauchen eine DeFi-Protokoll-Erntefinanzierung von 24 Millionen US-Dollar
Die zentralen Thesen
- Hacker erhielten USDT- und USDC-Stablecoins im Wert von 24 Mio. USD aus den Stablecoin- und BTC-Pools von Harvest Finance.
- Der Governance-Token von Harvest, FARM, fiel nach der Enthüllung des Hacks um 60%.
- Insgesamt 400 Millionen US-Dollar an Liquidität wurden aus Harvest Finance abgezogen, da Liquiditätsanbieter (LPs) von der Plattform fliehen.
Teile diesen Artikel
Ein 24-Millionen-Dollar-DeFi-Hack mit Harvest Finance hat die Verwundbarkeit des gesamten DeFi-Ökosystems aufgedeckt.
Wirtschaftliche Nutzung der Erntefinanzierung
Arbeit als Ertragsaggregator, Erntefinanzierung stellt anderen DeFi-Pools Liquidität zur Verfügung, um Gewinne für ihre Liquiditätsanbieter (LPs) zu erzielen. Hacker nutzten diesen Mechanismus angeblich im Y-Pool von Curve für ihren Angriff.
Der wirtschaftliche Angriff wurde über den Kurven-Y-Pool durchgeführt, wobei der Preis der Stallmünzen in Curve überproportional gestreckt und eine große Menge an Vermögenswerten durch Ernte eingezahlt und abgezogen wurde.
Um die Benutzer zu schützen, haben wir die Mittel der Pool- und BTC-Kurvenstrategie in den Tresor gezogen
– Erntefinanzierung (@harvest_finance) 26. Oktober 2020
Berichten zufolge ermöglichten Arbitrage-Manipulationen mit einem Flash-Darlehen in Höhe von 50 Mio. USD den Angreifern, den Preis für die Stallmünzen im Y-Pool von Curve zu erhöhen. Die Hacker nutzten dann die Stablecoin- und BTC-Pools von Harvest Finance, um eine größere Menge an Stablecoins im Austausch gegen die hochpreisigen Token auf Curve zu erhalten.
In weniger als sieben Minuten waren die Angreifer erschöpft 24 Millionen Dollar aus der Liquidität von Harvests.
Das volle Lautstärke Der Handel mit USDT und USDC von Curve stieg während des Exploits von 10 Mio. USD auf über 2,7 Mrd. USD.
Die Art des Angriffs wurde in der ausführlich besprochen wissenschaftliche Arbeit von Forschern des Imperial College London (ICL). Es wird erläutert, wie Flash-Kredite verwendet werden, um den Preis von Token-Paaren zu manipulieren und Liquidität aus DeFi-Pools abzuleiten.
Jeden Tag ein neuer DeFi-Hack
Es gibt eine starke Ähnlichkeit zwischen dem Harvest Finance-Hack und einem früheren DeFi von 15 Millionen US-Dollar Angriff auf Eminenz , dass die Angreifer einen Teil an die Adresse des Hauptentwicklers zurückgaben.
Während es bei Eminence 50% des Betrags waren, haben Harvest-Hacker diesmal 10% des gesamten Hacks an die ETH-Deployer-Adresse zurückgeschickt. Dies lässt den Verdacht auf einen Signaturwechsel durch eine einzelne Entität oder einen von Entwicklern übernommenen Trend aufkommen.
"Der Angreifer" hat etwas Geld zurückgeschickt, weil sie so nette Leute sind. Wenn dies kein starker Beweis dafür ist, dass "der Angreifer" und "die Entwickler" gleich sind, weiß ich nicht, was es ist. https://t.co/lNcE2DkcA6
– Riccardo Spagni (@fluffypony) 26. Oktober 2020
Wie früher berichtethaben die anonymen Entwickler von Harvest Finance mehrere rote Fahnen gehisst. Die Anonymität in DeFi trägt auch zum Vorteil des Entwicklers bei, der nicht verfolgt wird und reich an Kryptogeld aus den Hacks ist.
