月亮链 月亮链
Ctrl+D收藏月亮链

USD:一文了解Harvest Finance $2400万被盗事件经过及补救方案_SDCUSD币

作者:

时间:1900/1/1 0:00:00

摘要:为您一文梳理Harvest黑客攻击事件的经过、影响,以及后续补救措施。

10月26日,黑客利用闪贷从DeFi协议HarvestFinance的金库中盗走了2400万美元资金,尽管攻击者事后归还了大约250万美元的资金,但Harvest用户面临的损失依旧超过了2000万美元。对此,Harvest团队发推称承认编程漏洞属于团队责任,称将按照快照将退还的部分资金返还给用户,剩余被盗资金的赔偿计划还在研究中。同时请求黑客退还资金。

攻击过程

整个攻击过程持续了7分钟,以下为慢雾安全团队对此攻击过程的简要分析。

Gemini CEO:美国监管机构在处理第一共和银行危机时采取双重标准:金色财经报道,加密货币交易所Gemini首席执行官Cameron Winklevoss指责美国监管机构在处理First Republic Bank(第一共和银行)危机时采取双重标准。Winkelvoss表示:如果第一共和银行是一家“加密货币”银行,事情的处理方式就会有所不同。(cointelegraph)[2023/4/27 14:30:40]

1.攻击者通过Tornado.cash转入20ETH作为后续攻击手续费

2.攻击者通过UniswapV2闪电贷借出巨额USDC与USDT

3.攻击者先通过Curve的exchange_underlying函数将USDT换成USDC,此时CurveyUSDC池中的investedUnderlyingBalance将相对应的变小

Cardano链上稳定币Djed发行量突破424万枚:金色财经报道,Cardano链上稳定币Djed最近发行量创下历史新高,据其官方网站,发行量超过 424 万枚。Djed 由 IOG 开发,由 COTI 提供支持,是一种由 Cardano 的原生区块链代币ADA支持的超额抵押稳定币,它使用 SHEN 作为储备币。

根据 CoinMarketCap 数据,Djed交易量在过去 24 小时内增长了 38% 以上。[2023/4/18 14:09:31]

4.随后攻击者通过Harvest的deposit将巨额USDC充值进Vault中,充值的同时Harvest的Vault将铸出fUSDC,而铸出的数量计算方式如下:

amount.mul(totalSupply).div(underlyingBalanceWithInvestment);

狗狗币开发工具更新增加二维码BIP-39种子支持等:金色财经报道,根据开发商 Michi Lumin 3 月 23 日的公告,狗狗币基金会发布了其 libdogecoin 工具集的重大更新。具体来说,该更新包括对 BIP39 的支持,这是一种被比特币钱包和其他钱包广泛用于创建和恢复地址的标准。该更新还增加了对 BIP32、BIP44 和 SLIP44 等相关地址标准的全面支持。这意味着用户有更多与种子短语相关的选项——用作助记符的常用单词列表。此外,该工具集能够生成 QR 码,这在移动钱包交易中经常使用。[2023/3/26 13:26:40]

计算方式中的underlyingBalanceWithInvestment一部分取的是Curve中的investedUnderlyingBalance值,由于Curve中investedUnderlyingBalance的变化将导致Vault铸出更多的fUSDC

DigiDaigaku Genesis系列NFT近24小时交易额增幅超400%:金色财经消息,OpenSea数据显示,DigiDaigaku Genesis系列NFT近24小时交易额为365 ETH,24小时交易额增幅达469%。近24小时交易额排名位列OpenSea第3。[2022/8/29 12:54:21]

5.之后再通过Curve把USDC换成USDT将失衡的价格拉回正常

6.最后只需要把fUSDC归还给Vault即可获得比充值时更多的USDC

7.随后攻击者开始重复此过程持续获利

事件影响

受此次安全事件影响,Harvest平台代币FARM币价暴跌50%,截至发稿达112美金。

同时,由于操作需求,此次安全事件也为数个DeFi平台带来了可观的交易手续费收入。

TheBlock研究总监LarryCermak对此发推称,这其中约92%的交易量来自USDT/ETH交易对和USDC/ETH交易对。他们为Uniswap的LP产生了576万美元的费用。

DeFi爱好者jiecut在推特上发表,受本次Harvest安全事件中,黑客在链上的操作为部分平台带来了比较可观的收入。其中Uniswap的流动性提供者收入近600万美元,平台交易量从1.48亿美元暴增到昨日的21.1亿美元;CurveLP大约可获得100万美元;ETHGas费达10万美元;RenVM的手续费为2万美元。

补救措施方案

10月27日,HarvestFinance发表文章公布了针对此次安全事件的补救措施。

HarvestFinance团队目前正在评估潜在的补救方案,并且将在接下来的版本中提现在新版本中的设计中,我们将在新金库中加入升级功能以及替代基于时间锁的投资策略,我们也会在新版本发布之前公布解决方案。

补救方法有以下几种可能:

1.实施存款承诺与披露机制。废除在单笔交易中执行存款与取款的功能,以此防止闪电贷攻击。从用户的角度来说,这意味着他们的代币将通过单一一笔交易被转入Harvest中。用户也需要在另一笔交易中取出其份额。这会导致用户体验发生变化,因为有可能用户需要支付更高、但仍能接受的Gas费。

2.加强对策略中的现有存款套利检查配置。当前的阈值为3%,但这不足以使金库免受攻击。一个更高的阈值能提高这类攻击的经济成本。但是也有可能导致在自然的无常损失影响下存款受限制。周日的事件只持续了7分钟,也就是说这种措施还没办法完全防止攻击,只能作为其他手段的补充。

3.基础资产提现。当用户把钱存入使用共享池的金库,他们的个人资产就被转为共享池中资产。如果用户只是提现基础资产,他们就可以根据当前的市场情况将其兑换为组合资产。如果市场被操纵,交易也会跟着被操纵,这就能使得攻击方无法获取利润。从一个普通用户的角度来看,提取yCRV之后,用户可以通过另一笔交易将其转换为稳定币。尽管用户体验会改变,但这也可以解决滑点的问题,因此对协议有利。这种方法的缺点是,它会将金库提现机制和当前正在使用的策略绑定起来:如果将策略切换到一个不使用共享基础池或使用不同池的其它策略,提现的币种也会改变。

4.使用预言机来决定资产价格。虽然外界预言机如ChainLink或者Maker可以决定资产价值的大概值,这个值和真实的价格还有一定的联系。如果DeFi项目内部的底层资产价格和预言机的报价出现差值,金库就又面临着投机和闪贷攻击。所以,这并不是Harvest的理想解决方案。但是,Harvest还是会考虑在系统设计和补救措施中使用预言机。

标签:USDUSDCSDCUSD币USD价格USDC币USDC价格SDC价格SDC币

欧易交易所app下载热门资讯
区块链:巨灵信息豪“数字货币”量化交易?_区块链技术发展现状和趋势十大数字货币交易所排名

本报记者郑瑜张荣旺北京报道当前,区块链有效的商业模式待考,行业不乏追求区块链加密资产快速变现的“投机者”.

1900/1/1 0:00:00
FORTH:“鲨鱼嘴”撞脸玛莎拉蒂,东风风行SX5G申报图曝光_RTH币

“鲨鱼嘴”中网造型,是玛莎拉蒂旗下车型最具辨识度的细节,多年来,“鲨鱼嘴”与“三叉戟”的造型组合,已经成为玛莎拉蒂不可磨灭的品牌印记.

1900/1/1 0:00:00
COS:萤火虫漫展汉服秀闹乌龙,华裳九州的“文化生意”还能走远吗?_COS币OSMO价格

文丨镜像娱乐 盛兴而来,悻悻而去。 日前,成都萤火虫漫展汉服秀因临时取消,现场商家、模特与主办方发生言语冲突,场面一度失控,有的模特、商家一度泪洒当场.

1900/1/1 0:00:00
NGC:梅西耶8号——礁湖星云_NAS

本文参加百家号Billions项目组系列征文赛。18世纪时,当法国天文学家查尔斯·梅西耶在夜空中寻找彗星时,一直注意到夜空中固定的弥散状天体.

1900/1/1 0:00:00
阿帕奇:美国:用骸骨和头盖皮堆砌而成的人权“灯塔”?_阿帕奇币是什么币

提到切诺基,你也许会想到下面这样一款经典的汽车。 再说阿帕奇,我们的脑海中也许出现的是这样一件“重器”.

1900/1/1 0:00:00
比特币:令美国华尔街闻风丧胆,被A股投资者奉为偶像,金融圈最神秘力量——“你阿姨”!_ATM比特币中国官网联系方式

来源:理财老娘舅 提起“阿姨”这个名词,不知道你脑海里会冒出什么样的景象。是夜晚在你家小区广场上最呀最摇摆的民族风“舞蹈天后”?还是菜市里与人大方谈吐,不经意透漏三套房产的“豪门阔太”;或是,过.

1900/1/1 0:00:00