10月26日,有用户发现DeFi挖矿项目?Harvest.finance疑似遭到黑客攻击。黑客借用闪电贷,获利近2400万美元。随后市场信息纷纷涌出,由于涉及金额巨大,很快引起了国内外加密社区的猜想。律动BlockBeats根据已知信息以及官方回复,将此事件进行一个简单的梳理,帮助用户了解和跟进最新情况。
黑客到底是如何操作的?
律动观察到,黑客对于合约和匿名操作十分熟悉,在开始操作之前似乎还进行试验。黑客使用的初始ETH是从以太坊隐私交易平台Tornado.cash转出的。操作的Hash为:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。HarvestFinance官方称,像其他套利经济攻击一样,此次攻击起源于一笔巨额闪电贷。攻击者通过多次操纵CurveY池的价格,以耗尽Harvest的fUSDT、fUSDC池的资金。攻击者随后将资金转换为renBTC并套现。像其他闪电贷攻击操作一样,攻击者动作迅速,没有给平台反应的时间,连续7分钟端到端地进行攻击。攻击者以USDT和USDC的形式向开发者退回2478549.94美元。Harvest表示这笔资金将通过快照按比例分配给受影响的储户。
Synthetix创始人:建议在V3版本中引入新的SNX质押模块:6月19日消息,Synthetix创始人Kain今日发文谈及了关于SNX质押机制的更新计划。
Kain提议在Synthetix V3中实施一个新的SNX质押模块。该模块将简化整个质押过程,用户只需存入SNX,无需面临市场风险,也不用考虑对冲需求。最初财务委员会将资助该质押池,但未来也可能将Synthetix的部分协议费用分配给该质押池。Kain强调,这种更简单的质押方式旨在吸引更多新用户进入Synthetix V3系统。
在谈及之所以建议如此时,Kain表示SNX质押流程的复杂性已构成了新用户的入场障碍。多年来Synthetix社区一直都对SNX质押的复杂性抱有担忧情绪,由于SNX的质押支撑着Synthetix上的所有交易,因此SNX的质押率非常重要。虽然在早些年间(2019年),通胀激励曾是增加SNX质押率的有效策略,但其效果在2021、2022年已有所减弱。[2023/6/19 21:46:52]
比特币核心开发者Dhruvkaran Mehta将辞职:金色财经报道,比特币核心开发者Dhruvkaran Mehta表示,他将离开这个项目,专注于一个与比特币相关的新创业想法。Mehta于2020年8月开始为比特币核心做出贡献,主要致力于通过比特币改进提案324 (BIP324)改进比特币的点对点(P2P)协议。
比特币的P2P协议控制着网络中节点之间的通信。BIP324试图通过引入一种对比特币节点之间的信息进行加密的P2P协议来降低此类攻击的可能性。[2023/4/20 14:14:55]
HarvestFinance给出的信息似乎与加密交易员们的推测一致。aelf的创始人马昊伯发表了自己的推测。首先需要了解的是,闪电借贷可以无抵押借到很多钱,不管是有多少滑点的AMM,都是有滑点的。而且Curve的曲线虽然在两个币种之间的滑点比较低,但是到极端情况下还是会有不可控的事件发生。马昊伯猜测:黑客可能是利用闪电借贷借了一大笔钱,然后把curve的价格搞到十分离谱,然后再到Harvest按照不合适的价格进行单边充值,然后利用Curve将钱赎回。这样一来Harvest亏了,黑客就赚到了,Curve也因为这波操作价格产生波动。而Curve的所谓亏损其实和Uniswap的LP亏损一样,是一种无偿损失,价格会很快恢复。」
Alameda清算人在DeFi借贷平台Aave上损失72,000美元:金色财经报道,Alameda 清算人在试图为债权人追回资金时被清算后,在 DeFi 借贷平台 Aave 上损失了 72,000 美元。清算人试图平仓,并在此过程中首先移除了用于该头寸的额外抵押品,使其面临清算风险。加密数据平台Arkham在与 The Block 分享的一份报告中指出,在九天的时间里,该头寸被清算两次,总计 4.05 aWBTC,这是 Aave 上使用的一种由比特币支持的代币。
该数据基于已被 The Block 研究副总裁 Larry Cermak 标记为与 Alameda 相关的钱包,并用于在以太坊区块浏览器 Etherscan 上标记钱包。来自这些钱包的资金被转移到一个由多重签名控制的钱包中,该钱包现在持有 1960 万美元的以太币和价值 1.4 亿美元的以太坊上的各种代币。[2023/1/13 11:09:21]
新加坡主权基金GIC:因投资DCG导致短期波动风险增加:11月24日消息,新加坡主权基金GIC表示,由于加密货币经纪商Genesis Trading近期陷入困境且DCG为其母公司。鉴于GIC曾参投DCG,因此预计短期内GIC投资波动性将增加。
据此前报道,2021年11月,Digital Currency Group宣布通过股票交易完成7亿美元融资,软银愿景基金二期与Latin America Fund领投,GIC Capital、Ribbit Capital、谷歌母公司Alphabet旗下私募股权投资机构Capital G参投。(The Straits Times)[2022/11/24 8:03:17]
后续影响
Harvest.finance的官方推特在10月26日12点30分左右表示:「我们正在积极致力于减轻对稳定币池和BTC池的攻击问题。经济攻击是通过CurveY池进行的,通过拉高CurveY池流动性,导致收益率暴涨,随后通过harvest进行大量存取款操作。为了保护用户,我们已经把100%的稳定币和BTCCurve策略基金放到了保险库中。同时为了保护用户,HarvestFinance正在阻止用户向稳定币和BTC保险库中充值,现有存款将继续赚取FARM。」
今日恐慌与贪婪指数为42,恐慌程度大幅降低:金色财经消息,今日恐慌与贪婪指数为42(昨日为30),恐慌程度较昨日显著降低,等级仍为恐慌。
注:恐慌指数阈值为0-100,包含指标:波动性(25%)+市场交易量(25%)+社交媒体热度(15%)+市场调查(15%)+比特币在整个市场中的比例(10%)+谷歌热词分析(10%)。[2022/8/9 12:11:22]
受此事件影响,不少用户担心资产安全,纷纷提现转账,加上黑客操作及套现行为,根据Debank数据显示,去中心化交易平台的单日成交量创历史新高,超过30亿美元。同时,律动发现,Harvest和Curve的总锁仓量开始下降,Curve24小时锁仓量下跌26%,Harvest24小时锁仓量下跌46%。
用户应该怎么办?
由于黑客一直在通过RenBTC进行兑现。截止发稿时,HarvestFinance官方已宣布通过与RenProtocol合作,获取相关RenBTC提现地址。并公布了通过RenProtocol导出的BTC地址,现在正在寻求币安、火币、OKEx和Coinbase等交易平台的帮助,希望可以冻结相关地址。那么在事件并未完全清晰的情况下,用户应该如何操作?对此,神鱼在内的多个业内人士建议用户先将资金提出,以确保资金安全。另外官方此前已建议用户暂停向稳定币池以及BTC保险池进行充值。
网友总结了黑客的这一系列操作,都对那些平台或个人产生了收入。目前来看黑客获利2400万美元左右;通过Uniswap进行套现,UniswapLP收入600万美元;黑客向Harvest的开发者返还了247万余美元;通过Curve的流动性池完成的这一波套利操作,因此CurveLP大约可获得100万美元收入;调用合约、转账等产生的ETHGas手续费10万美元;最后通过RenBTC兑现,RenVM手续费2万美元。
目前HarvestFinance官方仍在对此事进行调查。Harvest团队表示,除了套现的BTC地址外,社区中流传着大量关于攻击者的信息,将悬赏10万美元寻找攻击者。此次悬赏仅仅是出于对平台用户资金的考虑,希望攻击者能将资金打回开发者地址,团队尊敬攻击者的技巧和聪明才智,不会对攻击者有其他方面的干扰。?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。