10 月 26 日,有用户发现 DeFi 挖矿项目 Harvest.finance 疑似遭到黑客攻击。黑客借用闪电贷,获利近2400万美元。随后市场信息纷纷涌出,由于涉及金额巨大,很快引起了国内外加密社区的猜想。律动BlockBeats根据已知信息以及官方回复,将此事件进行一个简单的梳理,帮助用户了解和跟进最新情况。 黑客到底是如何操作的?律动观察到,黑客对于合约和匿名操作十分熟悉,在开始操作之前似乎还进行试验。黑客使用的初始 ETH 是从以太坊隐私交易平台 Tornado.cash 转出的。操作的 Hash 为:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。Harvest Finance 官方称,像其他套利经济攻击一样,此次攻击起源于一笔巨额闪电贷。攻击者通过多次操纵 Curve Y 池的价格,以耗尽Harvest 的 fUSDT、fUSDC 池的资金。攻击者随后将资金转换为 renBTC 并套现。像其他闪电贷攻击操作一样,攻击者动作迅速,没有给平台反应的时间,连续 7 分钟端到端地进行攻击。攻击者以 USDT 和 USDC 的形式向开发者退回 2478549.94 美元(律动注:向开发团队打回资产的)。Harvest 表示这笔资金将通过快照按比例分配给受影响的储户。 Harvest Finance 给出的信息似乎与加密交易员们的推测一致。aelf 的创始人马昊伯发表了自己的推测。首先需要了解的是,闪电借贷可以无抵押借到很多钱,不管是有多少滑点的 AMM,都是有滑点的。而且 Curve 的曲线虽然在两个币种之间的滑点比较低,但是到极端情况下还是会有不可控的事件发生。马昊伯猜测:黑客可能是利用闪电借贷借了一大笔钱,然后把 curve 的价格搞到十分离谱,然后再到 Harvest 按照不合适的价格进行单边充值(亏钱的情况下充值),然后利用 Curve 将钱赎回。这样一来 Harvest 亏了,黑客就赚到了,Curve 也因为这波操作价格产生波动。而 Curve 的所谓亏损其实和 Uniswap 的 LP 亏损一样,是一种无偿损失,价格会很快恢复。」 (责任编辑:admin) |