USD:首发 | Harvest.Finance攻击事件分析_CK USD

流动性挖矿(YieldFarming)是近期DeFi领域中的最热话题，以各种食物为主题的流动性挖矿似乎每日都能凑成一桌饕餮盛宴，大爆炸式地将新的DeFi概念灌输给投资者与用户。

每天新的流动性挖矿项目都会出现，同时旧项目也在退出人们的视野。对于这些项目“新人哪闻旧人哭”的快速交替，身为以建立区块链健康安全生态为己任的CertiK，希望给大家带来更有价值的问题和答案：当我们在讨论流动性挖矿项目安全性的时候，讨论点和关注点都应该是什么？

安全这个话题难以简单概述，非细致的讲解不能窥探一二。

本文在此以Harvest.Finance为例，分析作为流动性挖矿项目其存在的安全风险。

Harvest.Finance，它的名字非常直观的说明了其设计意图——流动性挖矿。

该项目的代码已经开源，网站社区等也一应俱全。尽管Harvest.Finance的审计报告已公布，其项目中被审计部分的安全性目前可以被信任，但是这并不能说明Harvest.Finance的整体安全性得到了保障。

首发 | 区块链技术及软件安全实战基地正式成立:金色财经报道，今日，中软协区块链分会、人民大学、菏泽市局相关部门联合共建的区块链技术及软件安全实战基地正式成立。同时聘任中软协区块链分会副秘书长宋爱陆为区块链技术及软件安全实战基地特别专家。

区块链技术及软件安全实战基地主要涉及领域为：非法数字货币交易与、区块链与电信、网络、四方支付、冒用商标注册等，联合社会治理、城市安全、前沿技术领域的行业专家，进行警协合作。

据公开报道，近期菏泽市下属机关刚破获一起特大电信网络案，打掉多个涉嫌以网贷和投资“比特币”为名的团伙，抓获犯罪嫌疑人83名，扣押冻结涉案资金2700万元。[2020/7/21]

CertiK安全研究团队从该项目智能合约出发，发现了该项目中存在与其他类似流动性挖矿项目同样的问题：治理中心化，即许多关键操作只允许项目管理者来进行，没有任何对项目限制者的限制手段，例如：

首发 | 火币集团全球业务副总裁：监管将决定区块链技术和加密货币的落地速度:1月21日，火币集团全球业务副总裁Ciara Sun在达沃斯世界经济论坛上表示，对区块链和数字货币的监管态度，2019年是重要的一年。在美国，到2019年底，针对加密货币和区块链政策有21项法案，这些法案包括税收问题，监管结构，跟踪功能和ETF批准，哪些联邦机构监管数字资产等。欧盟（EU）在2020年1月10日实施了一项新法律，要求加密货币平台采取更严格的反做法。瑞士，日本，立陶宛，马耳他和墨西哥通过法律，要求交易所必须根据KYC和AML准则获得许可。中国，土耳其，泰国等国家正在计划自己的中央银行数字货币（CBDC）。而监管将决定区块链技术和加密货币的落地速度。[2020/1/22]

图1：DelayMinter.sol

参考链接：

https://github.com/harvest-finance/harvest/blob/master/contracts/DelayMinter.sol

首发 | 蚂蚁矿机S17性能曝光 采用全新散热技术及全局优化定制方案:金色财经讯，日前，比特大陆即将发布的蚂蚁矿机S17性能曝光。据蚂蚁矿机S17产品经理朋友圈称，新品将采用新一代散热技术及全局优化定制方案。据了解，该散热技术可能是指芯片的封装技术，也有可能是机器的散热结构设计。至于S17产品“全局优化定制”方案未有细节透露。有声音评价，这或许是为决战丰水期做出的准备。[2019/3/22]

图2：Governable

参考链接：

https://github.com/harvest-finance/harvest/blob/master/contracts/Governable.sol

图3：Storage.sol

参考链接：

https://github.com/harvest-finance/harvest/blob/master/contracts/Storage.sol

首发 | 百度推动246家博物馆线上藏品上链:金色财经讯，近日，百度超级链联合百度百科，基于区块链技术创建 “文博艺术链”，推动百科博物馆计划中的246家博物馆线上藏品上链。基于“文博艺术链”，百度将与博物馆共同推动线上藏品版权的确权与维护，同时探索线上藏品版权数字化交易方式，为合作的博物馆提供更全面的服务和更多的权益。据介绍，此项目将分阶段进行，一期将完成线上藏品的入链确权，为每一件藏品生产专属的版权存证证书。让每一名用户可以在百度百科博物馆计划的PC端和WAP端的藏品页查看证书。后续，百度还将推动AI与区块链技术在文博领域的结合应用，用来保障上链数据与藏品相匹配，为后续进行藏品图像版权数字化交易奠定基础。[2019/1/30]

图1中第102行起的函数executeMint()的功能是进行铸币操作，由于onlyGovernance的限制，使得只有于onlyGovernance许可的地址可以执行该函数，而onlyGovernance的定义来自于图2中14行与图3中27行的代码，最终从图3的28行可以看到所谓的“Governance”其实仅是指项目拥有者本身，并不是如名称所暗示指代一个管理委员会。

金色首发 EOS超级节点竞选投票率达6.49%:金色财经数据播报，截止北京时间6月13日15:50，EOS投票率达6.49%。EOS引力区和EOS佳能作为两个来自中国的超级节点竞选团队暂居第五和第六名。其中EOS引力区的得票总数为903万，占比2.96%；EOS佳能的得票总数为877万，占比2.87%。此前异军突起的EOSflytomars暂居第17位，得票总数为630万，占比2.07%。目前跻身前30名的超级节点竞选团队中，有八个团队来自中国。[2018/6/13]

通过观察代码可以了解到，该项目的治理与重要操作的控制权都被项目管理者据有，中心化程度极高，而这一点明显违背了以去中心化为基本的流动性挖矿项目的本质。

即便项目管理者加入了一个延迟操作的功能，并设置了每一个铸币操作都需要提前公布给社区，这依旧无法从根本上解决问题。尤其是当Harvest.Finance项目把延迟的时间期限设置为12个小时，这也违背了大部分人的作息规律。

除了项目的治理中心化程度过高的通病，流动性挖矿项目同样存在被套利攻击的风险。

套利攻击是利用价格差进行低买高卖完成的以获利为目的的交易行为。已经发生过套利攻击的著名项目有Balancer和bZx。

10月26日Harvest.Finance项目也发生了套利攻击事件，损失超3380万美元。

对于此类攻击，需要弄清两个问题：

1.发生套利攻击的条件是什么？

2.为什么Harvest.Finance项目满足了这些条件？

发生套利事件需要的条件其实非常直观：可以完成低买高卖。

简化来说就是可以通过自己的交易或者操作来影响交易物的价格。

这种交易影响价格的手段可以是直接改变，也可以是改变交易物的数目来间接的影响价格。

流动性挖矿项目自身通过交易来铸币或者燃烧币的操作，十分容易满足改变交易物的操作要求。

一旦套利攻击者发现了可利用的攻击点，可以在没有风险的情况下当即利用闪电贷借取大额资金，将套利攻击的获利扩大。

图4：Harvest.Finance套利攻击的交易之一

参考链接：

https://etherscan.io/tx/0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877

图4所示交易是在此次发生于Harvest.Finance项目的套利攻击的其中一笔交易，攻击者通过查看该项目智能合约中控制铸造fUSDC代币数目的函数，发现铸造的代币数目依赖于其参考的Curve项目的计算公式，继而依靠闪电贷获得大量初始资金进行套利攻击。

攻击者的执行交易的流程大致如下：

1.闪电贷借贷得到大笔USDC和USDT；

2.利用借贷所得USDT通过Curve转换为USDC，提高USDC价格；

3.将获得的USDC存入Harvest.Finance项目的USDC储藏室(vault)中,同时Harvest.Finance会为该存入的行为攻击者铸造一定数目的fUSDC(铸造的数目受Curve影响)；

4.?将初始借贷所得的USDC通过Curve转换为USDT，提高USDT的价格，同时USDC价格降低；

5.最终攻击者将持有额所有fUSDC转换回USDC，此时因为Curve中的USDC价格降低，导致影响了兑换回USDC的数目增加。

最终攻击者利用类似操作，完成了14笔利用针对USDC的套利交易，然后利用同样的思路，针对USDT完成了另外13笔套利交易。

根据官方报告，计算了攻击者返还给项目的1300万USDC和11万USDT之后，总损失超过2亿人民币。

在Harvest.Finance这次的套利攻击事件中，攻击者通过影响USDC、USDT代币的价格来进行套利。

因此，项目代币价格不能简单的依赖于其相对数目，而应该稳定建立于实时、有效、可靠的价格提供系统之上。例如目前的chainlink的价格预言机便可以一定程度上解决此类隐患。

当讨论一个流动性挖矿项目的安全性时，不应仅仅简单的查看程序代码、智能合约的安全，而需要查看更加深层的、逻辑性的漏洞，例如治理中心化以及代币价格控制逻辑可能导致的套利攻击风险。

传统的代码审计并不适合包括流动性挖矿在内的区块链项目。

面对此类项目，需要有经验丰富的区块链项目专业审计人员，从传统代码审计、逻辑审计、金融模型审计等多角度对项目的安全进行逐步且完备的审核，才可确保项目的安全。

迄今为止，CertiK已为超过200名机构用户提供了优质服务，保护了超过80亿美元的数字资产与软件系统免受安全损失。

欢迎搜索微信关注CertiK官方微信公众号，点击公众号底部对话框，留言免费获取咨询及报价！?

标签：USDANCNCENANCK USDDogo FinanceFinancial Intelligence Group TokenFODL Finance

波场热门资讯