DeFi項目Harvest Finance造成用戶損失超2000萬美元，知名KOL提醒用戶撤離_EST

10月26日消息，鎖定資金量超10億美元的DeFi項目HarvestFinance被曝遭黑客攻擊，據稱已造成大約2400萬美元的損失，很多參與者自稱損失了15%以上的資金，受此消息影響，Harvest的治理代幣FARM一度暴跌70%以上。

而Harvest項目方則發布推文解釋稱：

“這次攻擊和其他套利經濟攻擊一樣，緣于一筆大額的閃電貸，攻擊者多次操縱curvey池以提取fUSDT和fUSDC資金，隨后將資金轉換成renBTC，并退出為BTC。”此外，Harvest項目方還表示：

“我們正致力于減輕對穩定幣和BTC池的攻擊，一旦有更多細節可用，我們將會進行實時更新。”而據DeFi之道提供的最新消息顯示，黑客以USDT和USDC的形式歸還了大約247.8萬美元的資金，約占到被盜資金量的10%，而Harvest項目方則表示隨后會將這些資金歸還給受影響的用戶。?

DeFi社區炸鍋，知名KOL提醒用戶應撤離Harvest

目前，關于這次Harvest攻擊的信息依舊非常有限，而DeFi社區的知名參與者則發出提醒稱，Harvest用戶應盡快將其資金從該項目的合約中提取出來。

桑坦德銀行：閃電網絡每秒可處理超過100萬筆交易:金色財經報道，桑坦德銀行的報告估計，閃電網絡每秒可處理超過100萬筆交易，而VISA等傳統卡支付網絡每秒可處理2萬筆交易。Amboss首席執行官Jesse Shrader表示，MicroStrategy和Santander等公司正在認識到基于該技術的閃電技術的潛力，而不是出于合規目的而采用它。

金色財經此前報道，桑坦德銀行Santander的資產服務部門CACEIS，已在法國監管機構注冊，提供加密貨幣托管服務。[2023/6/27 22:03:03]

截至發稿時，Harvest合約鎖定的資金已驟降至5.9億美元，較24小時之前下滑42.41%。

而在這次攻擊發生的前一天，DeFi觀察者ChrisBlec則揭示了Harvest項目所存在的巨大風險，其提到稱，Harvest項目合約所鎖定的10多億美元資金，完全受匿名開發者的控制，并且開發團隊存在刻意隱瞞這一事實的嫌疑。

以下是譯文內容：

DeFi的發展太快，要跟上它的節奏實在太難，即使是我也是如此。

但這并不意味著我們無法保證安全，并且我們不必成為開發者就可以做到這一點。

LayerZero Labs以30億美元估值完成1.2億美元B輪融資:金色財經報道，LayerZero Labs今天宣布完成1.2億美元的B輪融資，公司估值升至30億美元。這輪融資有33家投資者參與，包括a16z crypto、BOND、佳士得、Circle Ventures、OpenSea Ventures、Samsung Next和紅杉資本等。

本輪融資將在LayerZero的持續增長中發揮不可或缺的作用，并將用于增加LayerZero實驗室的員工人數，并深化其在亞太地區的業務。這一擴展將使LayerZero進一步鞏固其作為主要消息協議的地位，并在全球范圍內促進數字資產生態系統的發展。[2023/4/5 13:45:01]

在這篇文章中，我將分享自己發現HarvestFinance存在高危管理密鑰風險的步驟，而這一事實危及到了用戶的資金。

就在昨天，當我查看DeFiPulse，并看到排行榜中排名第四的項目HarvestFinance時，其鎖定的資金量已超過了10億美元，但我發現自己對這個項目并不了解。

我第一次聽說HarvestFinance，是他們為許多GitcoinGrants參與者捐款50,000美元，當時其宣布這一消息時，我確實有關注到它。

2.74億枚BLUR空投已被領取:金色財經報道，Dune Analytics數據顯示，3.6億枚BLUR總空投已被領取76.06%（約2.74億枚），其中45.7%的空投數量在1000至10000之間，34.5%的空投數量在100至1000之間。目前空投認領人數達40585人。

此前今日早些時候消息，NFT市場Blur已發布其原生代幣BLUR，交易者有60天的時間來領取空投代幣。[2023/2/15 12:07:21]

兩天前，我突然注意到一條關于Harvest鎖定資金量突破10億美元的推文。

看到這一點，我記下了要檢查的內容。Harvest是目前市場上眾多的收益農耕項目之一，我還沒有時間去研究每一個，但是突破10億美元的項目，無疑會讓我產生興趣。

我的第一站就是看他們的網站，找到它并不難，他們的官方Twitter介紹里就有鏈接。

這是一個典型的收益農耕用戶界面，在點擊了一段時間后，我發現他們接受了多個代幣存款，包括UniswapLP代幣，我開始想知道，這個項目的去中心化程度到底有多高。

這一部分實際上非常重要，因為很少有DeFi用戶會這么干。任何時候，當一個智能合約接受存款時，你首先要問的問題是“這個產品的去中心化程度如何？資金是如何被持有的？有管理密鑰嗎？如果有的話，它能夠做什么？”

FTX創始人SBF抵達紐約法院，接受FTX欺詐案提審:金色財經報道，FTX創始人SBF抵達紐約法院，接受FTX欺詐案提審。[2022/12/23 22:02:33]

一旦這些問題出現在你的腦海中，那你就需要在存款之前得到答案。如果你在沒有答案的情況下就存款，那你就是在賭博。

我開始點擊他們的FAQ和Wiki標簽，直到找到一些線索。首先，我看到Harvest的“技術資料”里提到了時間鎖。

如你所見，在“技術資料”中沒有提及關于管理密鑰的其他內容。

什么是時間鎖？它是一種智能合約，它為以太坊管理密鑰調用的任何交易添加延遲，從而讓用戶有時間檢查交易，并及時取出自己的資金。

也就是說，如果沒有某種密鑰，那就根本用不到時間鎖。

所以當我看到時間鎖這個詞，而技術資料中沒有提及管理密鑰或它能夠做什么時，我知道我必須更深入地調查這個項目。

在他們的Wiki頁面上，我發現了一個名為“HarvestSecurity”的鏈接。通常，當你在DeFi產品網站上看到一個叫做“Security”的頁面時，你一定會找到一些審計報告。而我確實也看到了。

Bgd Labs聯合創始人：如果USDC反對任何去中心化協議，那么作為企業基本上已經死了:金色財經報道，bgd Labs聯合創始人thΞ3d.lens在社交媒體上稱，如果USDC再采取行動反對任何去中心化協議，那么作為一家企業基本上已經死了。[2022/8/13 12:23:20]

HarvestFinance在其網站上提供了兩份審計報告，這兩項審計都是在9月份完成的，分別由知名的安全公司Peckshield和HaechiLabs所提供。

首先，我點擊Peckshield審計的鏈接，然后我看到的是這個：

顯然，這不是什么好事。

我只花了3秒鐘就注意到URL是不正確的，以及“https://github.com…”之前的所有內容都應被刪除。

在繼續之前，讓我問你，作為一名非開發人員，你會在這里停下來放棄嗎？還是說，你會花點時間查看URL并嘗試找出問題所在？

我不知道這是否是Harvest團隊無意犯的錯誤，還是其故意阻止他人查看審計報告的一種方式。但是，我確實知道，用戶必須要勤奮地尋找他們需要的信息，以作出明智的決定-即使這些信息被隱藏了起來！

所以，我修改了URL，并得到了Peckshield的實際審計報告：https://github.com/harvest-finance/harvest/blob/master/audits/PeckShield-Harvest.pdf

看起來很嚇人，不是嗎？

好吧，不一定如此，你無需成為開發者即可查看審計報告，并獲得一些非常重要的，有關智能合約系統的線索。

打開審計報告時，我要做的第一件事，就是搜索提及管理密鑰或“治理”的內容。

這很容易就能找到。

讓我們看第42頁的內容，如你所見，Peckshield使用了通俗易懂的英語，其向讀者表明，Harvest項目的治理職責高度中心化且非常不穩定。

“當前由一個EOA賬戶所控制，這引起了社區的必要關注。”簡單說，Harvest項目的資金，完全是由一個單一的以太坊賬戶所控制的，它并不涉及什么DAO，也沒有多重簽名。

在審核結果中，Peckshield給出了一個表，其中所有的資金都是由同一個地址所控制

閱讀審計報告時，請務必記住，項目方通常要為審計公司支付費用，而當你在審計報告中看到類似這種表時，實際上代表審計公司在通知你，該項目實際存在一些非常真實的危險，審計公司希望在不完全激怒客戶的情況下盡可能地誠實。接下來，查看HaechiLabs的審計報告：https://github.com/harvest-finance/harvest/blob/master/audits/Haechi-Harvest.pdf

我再次掃描了目錄，然后看到了這個重要的提醒：

讓我們再仔細看看。

這意味著，這些智能合約中所持有的10億美元資金，開發者可隨時將它們轉移走。

管理密鑰對于DeFi來說并不是什么新現象，而且HarvestFinance并不是唯一使用它的項目。但是，對于一個掌握10億美金巨額資金的項目而言，管理密鑰的存在是令人感到害怕的。

因此，我問自己的下一個問題是：

“是誰擁有這個功能非常強大的管理密鑰？讓我們和那個人談談。”我回到了HarvestFinance網站和他們的Wiki頁面，然后找到了“常見問題”部分內容，這給了我答案。

不，上帝，請不要告訴我，這個掌握著11億美元資金管理密鑰的人竟然是一個匿名開發者。

上帝：對不起，這是事實。

該死的。

這個事實讓我感到震驚，10億美元由一個管理密鑰控制已經夠糟糕了，更糟糕的是，掌握這個密鑰的人是在未知國家/地區的陌生人，這一事實將其推向了另一個新高度。

所以，我要大聲告訴大家：

如你所見，我確實了解到，由于審計報告已經完成，Harvest匿名開發者添加了一個前面所提到的時間鎖，這是一個只有12個小時的時間鎖，它不足以為用戶提供提供安全保護。

在找到此信息之后，合理的下一步是嘗試從HarvestFinance社區和開發者那獲取更多的信息，但情況不是很好，我因為詢問誰持有管理密鑰而遭到語言攻擊。HarvestFinance團隊禁止我加入他們的Discord社區，并在Twitter上將我屏蔽。

現在，我不僅知道HarvestFinance所持有的資金處于非常危險和不安全的境地，而且我也知道他們的匿名開發者對質疑聲持抵制態度，這些對于投資者來說都是不利因素。

這種情況將來會改變嗎？如果有一天該項目的匿名開發者充分地分散了當前的管理密鑰，那么它可能再值得一看。

但在那之前呢？這是一個不可接觸的DeFi產品。

將以上這些步驟應用到你感興趣的每一個DeFi產品上，你將能夠作為一個非開發人員而生存下來，祝你好運！

Tags：ARVESTVESVESTarv幣是什么幣harvestfinance幣發行價NervesVesta Finance

Gate.io