月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 波场 > 正文

USD:Harvest被攻击,20个ETH套利2400万美元,CRV却涨了_VEST

作者:

时间:1900/1/1 0:00:00

编者按:本文来自小吒闲谈,Odaily星球日报经授权转载。昨天的一件大事,是Harvest被黑客攻击了,还是经济攻击的那种,黑客盗走了2400万美元。

本来用稳定币参与挖矿,为了图个稳定收益,这下好了,本金损失了。一、Harvest被攻击过程

先是不少Harvest的用户称,自己的存入Harvest的fusdt,本金损失了10%左右,随后Harvest官网发布被攻击的信息。

分析师:疑似朝鲜黑客组织再次转移Harmony事件相关的1.7万枚ETH(约2718万美元):1月29日消息,链上数据分析师Zach XBT周末发推称,疑似朝鲜黑客组织“LazarusGroup”在周末再次转移Harmony事件相关的1.7万枚被盗ETH(约2718万美元)。

此前消息,Harmony跨链桥Horizon在去年6月24日遭到攻击,损失金额约1亿美元。本月早些时候,疑似朝鲜黑客组织转移Harmony事件相关的4.1万枚ETH,并存入3个交易所,美国联邦调查局(FBI)本周一证实,LazarusGroup和APT38为去年6月Harmony跨链桥攻击事件的幕后黑手。[2023/1/30 11:35:32]

对于Harvest遭受的闪电攻击,慢雾安全团队对此事件的简要分析,如下:1.攻击者通过Tornado.cash转入20ETH作为后续攻击手续费;2.攻击者通过UniswapV2闪电贷借出巨额USDC与USDT;3.攻击者先通过Curve的exchange_underlying函数将USDT换成USDC,此时CurveyUSDC池中的investedUnderlyingBalance将相对应的变小;4.随后攻击者通过Harvest的deposit将巨额USDC充值进Vault中,充值的同时Harvest的Vault将铸出fUSDC,而铸出的数量计算方式如下:amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());计算方式中的underlyingBalanceWithInvestment一部分取的是Curve中的investedUnderlyingBalance值,由于Curve中investedUnderlyingBalance的变化将导致Vault铸出更多的fUSDC;5.之后再通过Curve把USDC换成USDT将失衡的价格拉回正常;6.最后只需要把fUSDC归还给Vault即可获得比充值时更多的USDC。7.随后攻击者开始重复此过程持续获利。总结:此次攻击主要是HarvestFinance的fToken(fUSDC、fUSDT...)在铸币时采用的是Curvey池中的报价(即使用Curve作为喂价来源),导致攻击者可以通过巨额兑换操控预言机的价格来控制HarvestFinance中fToken的铸币数量,从而使攻击者有利可图。把黑客攻击Harvest过程再简化一下:先用USDC把USDT的价格拉高->存款得fUSD->再把USDT换回USDC平衡溢价->fUSD换回USDT,上述流程反复循环,反复套利。二、DeFi套利,可谓一本万利

ProShares 计划推出专注于元宇宙的ETF:金色财经报道,美国专业交易所交易产品 (ETP) 提供商ProShares周二向美国证券交易委员会(SEC)提交申请,计划推出一个专注于元宇宙的交易所交易基金(ETF),名为ProShares元宇宙主题ETF(ProShares Metaverse Theme ETF)。

如果获得批准,这只ETF将跟踪Solactive元宇宙主题指数(Solactive Metaverse Theme Index)的表现。该指数由提供或使用有关元宇宙的产品和服务的技术的公司组成。苹果、Meta和英伟达是该指数权重最高的股票。(彭博社)[2021/12/29 8:10:40]

黑客通过闪电贷攻击Harvest,付出和收益如何呢?成本:20个ETH;工具:闪电贷;收益:2400万美元。用20个ETH搏了2400万美元,然后通过renbtc通道进行匿名洗币等操作。当然这个攻击过程中,收益的不止黑客,还有uniswap、Curve、ETH矿工、RenVM,各自收益如下表。

SharedStake发布被攻击报告:系内部人员利用合约漏洞所为:以太坊2.0质押解决方案SharedStake发布被攻击报告称,此前SharedStake代币在正式推出前被铸造的原因在于内部人员利用时间锁合约(即在固定时间执行某操作的智能合约)漏洞所为。该漏洞于4月26日由白帽Lucash-dev提交给团队,某位团队成员因有查看漏洞的权限,于是利用该漏洞于6月19日和23日四次在主网铸造了价值约50万美元的代币并于正式推出后进行了抛售、抵押等操作。虽然没有足够的证据,但SharedStake核心成员怀疑是团队新成员所为。SharedStake表示目前正在修复漏洞,并将在以后对协议资金进行多签管理。[2021/6/24 0:02:29]

SnowSwap已推出针对Harvest的fAsset交换及质押池:3月17日,Harvest Finance官方发推宣布,基于Curve AMM机制的DEX SnowSwap已于3月16日,推出针对Harvest Finance的fAsset交换及质押池。该池允许Harvest Finance用户在fUSDC、fDAI、fUSDT和vanilla USDC之间进行交换,并未这些代币提供流动性。[2021/3/17 18:52:24]

这么多协议受益,而受损的是fusdt持有者,也就是Harvest中用稳定币挖矿的用户。攻击过程中,uniswap的成交量一下达到19.7亿美金,这个量有点吓人。

这个成交量放在过去是太可能发生的。那么问题来了,让黑客用闪电贷攻击,导致用户资产受损失。这个闪电贷不是个好东西?闪电贷,设计的初衷就是给用户在各协议之间套利,一丢丢钱就可以套利了。DeFi各协议之间可以相互组合,而这过程会积累一些风险,当用户发现协议之间的套利空间,就会发起攻击。这样反逼DeFi项目方做好安全,不仅是代码层面上的安全,还有协议经济上的安全。狼,是自然的清道夫。那么这个闪电贷,应该是DeFi协议的清道夫,专业清理协议中存在的问题。从这里也突出一个问题,DeFi项目的门槛真是高,爱西欧的时候,一个白皮书就可以出去忽悠融资发币等,然后fork一个代码,修修改改,主网上线等。当然DeFi里面也是可以Fork一个,比如cream、各类食物挖矿等等,成熟模型之上,稍加修改一下。但是想要要有点创新,或者故事听起饱满一些,没有技术实力和经济设计实力,都搞不了。三、Harvest遭受损失,CRV却涨了

Harvest被攻击,用户承受损失,而CRV价格却暴涨了。

这不知道是有人做盘,还是对Crv是真利好。Harvest遭受攻击后,停止了在CRV中的稳定币挖矿,对于CRV来说,少了一个无情挖提卖的机池,或许是这个刺激吧。

标签:USDVESTESTVESmusd币是什么时候发行的harvestfinanceEco Real EstateInvestDigital

波场热门资讯
区块链:Deribit期权市场播报:1022—持仓新高_Everscale

BTC历史波动率10d49%30d42%90d51%1Y78%期权持仓量18亿美元,期权成交量4.59亿美元。成交量接近727创造年内第二高,持仓量创造历史新高.

1900/1/1 0:00:00
DEF:DeFi没有凉,简析Uniswap代币被低估的原因_defibox币有价值吗

编者按:本文来自巴比特资讯,作者:JeffDorman,编译:隔夜的粥,星球日报经授权发布。写在前面:尽管去中心化金融的发展前景被寄予厚望,但近期Defi代币的价格却一跌再跌,难免让人有些失望,

1900/1/1 0:00:00
比特币:加密统计学家Willy Woo:比特币与股市脱钩,支持了比特币的“终极避风港”地位_NVT

编者按:本文来自Cointelegraph中文,Odaily星球日报经授权转载。加密统计学家WillyWoo表示,比特币已开始与美国股市标普500指数脱钩.

1900/1/1 0:00:00
SEC:美国证监会投票简化证券豁免发行规则,旨在便利投资者和证券发行者_secret币价格

编者按:本文来自Cointelegraph中文,作者:TURNERWRIGHT,Odaily星球日报经授权转载.

1900/1/1 0:00:00
虚拟资产:香港拟强制发牌规管虚拟资产交易服务平台,一文速览关键要点_gemini住在哪里

编者按:本文来自链闻ChainNews,撰文:阿得,星球日报经授权发布。今日,香港特区政府财经事务及库务局发布《有关香港加强打击及恐怖分子资金筹集规管的立法建议公众咨询》文件,就修订香港法例.

1900/1/1 0:00:00
数字资产:谷燕西:Corda正在成为数字资产世界的Windows_LORDA币

我在此前的一篇文章中谈到了未来数字资产世界中的底层操作系统。如同当初的PC时代一样,谁掌握了底层的操作系统,谁就在这个市场中有着决定的话语权.

1900/1/1 0:00:00