一文梳理 Harvest Finance 閃電貸安全事件_VES

HarvestFinance此次遭受閃電貸攻擊主要是由于fToken在鑄幣時采用Curvey池中的報價，攻擊者可以通過巨額兌換操控預言機價格來控制fToken的鑄幣數量，從而獲利。

撰文：阿得

10月26日中午12時左右，DeFi熱門項目HarvestFinance被曝遭黑客攻擊。據推特網友發現，疑似有黑客借用閃電貸，使用20ETH從HarvestFinance中套現超400萬美元。

消息擴散后，HarvestFinance項目的FARM代幣價格在短時間內下跌近60%，同時HarvestFinance和Curve的鎖倉量大幅減少。截至目前，Curve鎖倉量為8.53億美元，較昨天減少25.92%；HarvestFinance鎖倉量為5.85億美元，較昨天減少47.27%。

鏈聞對相關信息進行梳理，簡析HarvestFinance本次安全事件的要點。

Haru Invest：計劃將從資管公司收回的資產優先分配給會員，資產分配時間將取決于調查結果:9月9日消息，Haru Invest 首席執行官 Hugo Lee 向 Haru Invest 成員致函稱，本周四出庭解釋了自己與 Haru Invest 對一些用戶提出的恢復申請的立場。他表示，這次申請企業破產重整并不代表所有會員的利益，其責任是盡可能從資產管理公司恢復會員資產，并公平分配給所有 Haru Invest 會員。在法庭質詢中，Lee 解釋了與 Haru 成員有實質性合同關系的實體與資產歸屬實體的事實。具體而言，被提起恢復一案的公司并非實際經營 Haru Invest 服務的實體，因此，由于缺乏包括資產在內的任何剩余價值，它們并不擁有恢復的實際利益。

關于資產分配計劃，Lee 表示，除了從 B&S Holdings 收回的資產外，還計劃將從其他資產管理公司收回的資產優先分配給會員；但由于對 B&S Holdings 與 Haru Invest 調查仍在進行中，很難隨意確定資產分配時間表。在回答有關追回委托給 B&S Holdings 資產的問題時，Lee 表示目前的情況不允許隨意確定追回的可能性，他認為現在最重要的是與調查機構合作，從 B&S Holdings 收回盡可能多的資產。他認為，防止 B&S Holdings 從事其他行為并使其積極配合調查是首要任務。此外，資產分配時間表將根據調查結果等確定。[2023/9/9 13:28:27]

到底發生了什么？

數據：Uniswap的PEPE-WETH的V2和V3成為最活躍的流動性池合約:金色財經報道，據 Nansen 數據顯示，Uniswap 的 PEPE-WETH 的 V2 和 V3 流動性池合約在過去 7 天內的交易量分別超過 82,750 筆和 72,950 筆交易，成為最活躍的流動性池合約。

這兩個流動資金池在同一時期共獲得了近 90 萬美元的應計費用。僅有的兩個產生更多費用的流動性池是 USDC-WETH 和 WETH-WETH 流動性池，這凸顯了最近對 pepe 代幣的癡迷。[2023/5/4 14:40:57]

據慢霧安全團隊分析，HarvestFinance項目此次遭受閃電貸攻擊主要是HarvestFinance的fToken(fUSDC、fUSDT...)在鑄幣時采用的是Curvey池中的報價(即使用Curve作為喂價來源)，導致攻擊者可以通過巨額兌換操控預言機的價格來控制HarvestFinance中fToken的鑄幣數量，從而使攻擊者有利可圖。

HashKey PRO開放早期注冊服務，支持加密貨幣存提款與交易:4月28日消息，HashKey Group 旗下合規交易平臺 HashKey PRO 發推稱，已開放早期注冊服務，用戶可在該平臺上存入、提取和交易各種加密貨幣交易對。[2023/4/28 14:33:17]

攻擊者通過Tornado.cash轉入20ETH作為后續攻擊手續費；攻擊者通過UniswapV2閃電貸借出巨額USDC與USDT；攻擊者先通過Curve的exchange_underlying函數將USDT換成USDC，此時CurveyUSDC池中的investedUnderlyingBalance將相對應的變小；隨后攻擊者通過Harvest的deposit將巨額USDC充值進Vault中，充值的同時Harvest的Vault將鑄出fUSDC，而鑄出的數量計算方式如下：amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());計算方式中的underlyingBalanceWithInvestment一部分取的是Curve中的investedUnderlyingBalance值，由于Curve中investedUnderlyingBalance的變化將導致Vault鑄出更多的fUSDC之后再通過Curve把USDC換成USDT將失衡的價格拉回正常；最后只需要把fUSDC歸還給Vault即可獲得比充值時更多的USDC。；隨后攻擊者開始重復此過程持續獲利。

美國財政部在美聯儲的賬戶余額跌破1000億美元:4月17日消息，美國財政部在美聯儲的賬戶TGA(財政部一般賬戶)已跌破1000億美元關口，過去一個月出現持續下跌，數據顯示TGA上周下跌了500億美元，四月份已損失約1300億美元，截至目前只剩下870億美元。分析認為，比特幣和黃金價格上漲或是對正在形成的潛在金融危機所做出的市場反應。(Cryptoslate)[2023/4/17 14:08:27]

其他攻擊流程與上訴分析過程類似參考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877

安全事件發生后，HarvestFinance初步調查后更新推特表示：

就像其他套利經濟攻擊，本次攻擊源于一筆巨額閃電貸。攻擊者多次操縱一個資金池的價格，以耗盡另一個資金池里的資金，隨后再將資金轉換為renBTC并套現。

成都：擬出臺“算力九條”，每年發放總額不超過1000萬元的“算力券”:金色財經報道，成都市新經濟發展委員會目前《圍繞超算智算加快構建算力產業的政策措施（征求意見稿）》（簡稱“算力九條”）已起草完成。“算力九條”提出，將推進算力賦能建圈強鏈。建立以“算力券”為核心的算力中心運營成本統籌結算分擔機制，結合區塊鏈等新技術實現“算力券”有效監管。每年發放總額不超過1000萬元的“算力券”，用于支持科技型中小微企業和創客、科研機構、高校等使用國家超算成都中心、成都智算中心算力資源。鼓勵本市企業、高校、科研機構聯合國家超算成都中心、成都智算中心，參與承接國家、省級人工智能重大產業化項目、“揭榜掛帥”項目、“卡脖子”技術攻關項目等，對于申報成功的項目牽頭企業或機構，分別按照算力成本20%發放不超過200萬元、100萬元的“算力券”。[2022/10/12 10:32:26]

此外，HarvestFinance官方還表示：

此次攻擊是通過Curvey池進行。為了保護用戶，HarvestFinance已經將y池和BTCCurve策略資金存入Vault中。目前為止，所有穩定幣和BTC資金都在Vault中。其他池不受影響。

HarvestFinance還通過與RenProtocol合作，并相關的10個BTC地址，希望幣安、火幣、OKEx和Coinbase等交易平臺對其進行凍結。其進一步稱：

除了持有被盜資金的BTC地址，我們現在還掌握了大量關于攻擊者的個人身份信息。他在加密社區頗為有名。

后續影響

由于本次安全事件涉及的金額較大，且影響較廣，再次引發市場對DeFi項目安全性的擔憂。Cobo聯合創始人神魚在微博表示，理論上凡是Harvest上的穩定幣和BTC挖CRV的單幣都有這個風險，大家抓緊提現。

在市場恐慌蔓延的情況下，Debank數據顯示，DeFi市場總鎖倉價值從10月25日的149.98億美元下降至今日138.90億美元。在鎖倉量排名前十的項目中，已有Harvest、Curve、YFI、Aave四個項目下跌比例超過10%。其中Harvest從11.19億美元的鎖倉量下跌至5.85億美元。

鎖倉量的大幅下降卻帶動了Uniswap等去中心化交易所的交易量。據Uniswap官網顯示，Uniswap的交易量今日突現猛增態勢，從昨天的1.48億美元增長到21.1億美元，24小時增長1267.91%。

TheBlock研究總監LarryCermak對此發推稱，這其中約92％的交易量來自USDT/ETH交易對和USDC/ETH交易對。他們為Uniswap的LP產生了576萬美元的費用。

據DeFi發燒友jiecut總結的數據顯示，在本次安全事件中，黑客在鏈上的操作為部分平臺帶來了比較可觀的收入。其中Uniswap的LP收入近600萬美元；CurveLP大約可獲得100萬美元；ETHGas費達10萬美元；RenVM的手續費為2萬美元。

據官方消息，目前攻擊者已通過USDT和USDC的形式退回開發者247.9萬美元，這筆資金將通過快照按比例分配給資金受損的存款人。HarvestFinance持續發推希望黑客歸還被盜資金，并懸賞10萬美金獎勵首位成功和攻擊者取得聯系并幫助返還用戶資金的個人或團隊。

安全端倪早已顯現

在攻擊發生前，DeFi分析師ChrisBlec揭露了HarvestFinance存在的巨大風險。其指出，HarvestFinance擁有一個管理密鑰，可讓持有者隨意鑄造代幣并竊取用戶的資金。正如該項目的審計公司PeckShield和Haechi所指出的那樣，其治理參數不是由具有明確定義規則的合約來設置的。該管理密鑰可能由該項目背后的匿名開發者持有。持有人可鑄造無限數量的代幣，并消耗代幣的Uniswap池中的資金。

同時，ChrisBlec還表示，項目方或許有在試圖向用戶隱藏其審計報道。因為他發現：

Peckshield和HaechiLabs審計報告鏈接的URL都是不正確的，以及“https://github.com…”之前的所有內容都應被刪除。

而在ChrisBlec發現問題并試圖聯系HarvestFinance社區和開發者，以詢問管理密鑰的歸屬時，其還遭受到言語攻擊，并被禁止加入HarvestFinance的Discord社區，在Twitter上被拉黑。

最新進展

在最新的推特中，官方表示將在接下來的16小時內發布事后報告，并針對未來的危機應對策略制定工作，包括評估保險方案以及賠償策略。截止發稿前，Harvest代幣FARM暫報101.35美元，24小時跌幅達56.7%。

Tags：VESVESTESTARVVESTX幣Vesta Protocolnest幣最新ARV價格

USDC