Harvest事件深度剖析：有因有果，只是来的太快，黑客成功拿走400万美元，未来

自从DEFI协议流行以来，智能合约风险伴随着其发展过程。面对资金池内动辄千万、上亿美元的诱惑，早已成为黑客眼中的一块肥肉，他们都在虎视眈眈盯着下手的机会。

这次黑客盯上了DeFi项目Harvest Finance，在攻击之初，这个协议内锁定资金量为11.18亿美元

根据相关媒体的报道，疑似有黑客借用闪电贷，使用20 ETH从Harvest的稳定币与BTC资金池中盗取约2300万USDT，大部分通过renBTC提现并通过Tornado.cash成功套现超400万美元，很多参与者自称损失了15%以上的资金。

Harvest官方：“这次攻击和其他套利经济攻击一样，缘于一笔大额的闪电贷，攻击者多次操纵curve y池以提取fUSDT和fUSDC资金，随后将资金转换成renBTC，并退出为BTC。”

为了保护用户资金，Harvest已将y池和btc curve策略资金提出并转移至Curve金库。具体来说：为了保护用户，已将100％的稳定币和BTC curve策略资金从策略中撤出到金库。

根据媒体报道：黑客以USDT和USDC的形式归还了大约247.8万美元的资金，约占到被盗资金量的10%，而Harvest项目方则表示随后会将这些资金归还给受影响的用户。

“喝水不忘挖井人”黑客还有这回购动作，良心啊！

Harvest Finance是什么？

这个项目在中国称之为开心农场，因为网站有一个拖拉机图标，大家又称为拖拉机，Harvest 英文为收割的意思。

在今年8月31日，Harvest Finance正式上线。这是借着SushiSwap经验突围出来相对成功的项目，主打稳定币交易。

Harvest Finance是一种跨链货币市场，能够自动种植收益最高的资产，并将这些资产分配给参与者。通过连接各自项目协议，自动种植最高收益的资产，并在农民之间分配利润，跟我们所说的机枪池是一个概念。每周都会调整种植的产品，以为农民们获得最大的收益。

FARM的总供应量为5,000,000 FARM，按官方资料会在5年内分配完成。

除了通过提供流动性可以获得FARM 外，通过锁仓社区代币，也是可以获得FARM的，协议会将利润分配给(5%~30%) FARM的持有者。

它的亮点在于稳定币的收益是全网最高的，初期高达291%~599%的收益，这也是吸引很多投资者关注的原因。虽然现在收益已经下降，但并没有失去这一优势。

根据其官网显示，Harvest Finance现在池子内仍有5.6亿美元的资金，FARM现报114.53美元。

黑客事件影响：代币价格暴跌，销仓量大幅下滑，投资者逃离

根据coingecko的数据显示，FARM代币在26日出现暴跌，最低跌至96美元，跌幅最高为70%。在晚上20：00出现了一定的上涨，现报115美元，24小时下跌50.6%。

根据debank的数据显示，Harvest的锁仓量也出现了46.9%的下滑，锁仓为5.89亿美元。

在25日Harvest的锁仓量为11.18亿美元，近几日基本保持在10亿美元以上。现排名也由此前的第6名下降至第8名，Curve 24 小时锁仓量下跌 25.79 %。

黑客事件已有警告：帐户由一个人匿名控制，中心化严重

Harvest Finance在其网站上提供了两份审计报告 也经过了派盾和另一个安全公司的审计，这两项审计都是在9月份完成的，分别由知名的安全公司Peckshield和Haechi Labs所提供。

这一切似乎是正常的，然而审计报告经过仔细推敲之后，其中包括了巨大的风险。

DeFi研究员Chris Blec上周六（24日）发文警告，当时总锁仓量突破10亿美元的明星项目Harvest Finance可能隐藏著中心化风险，因为协议控制权完全掌握在一位匿名私钥管理人手上，而项目方的消极回应，似乎在刻意隐瞒。

Chris Blec：我将分享自己发现Harvest Finance存在高危管理密钥风险的步骤，而这一事实危及到了用户的资金。

1、一个以太坊账户所控制Harvest项目上的资金

根据ChrisBlec文章：针对审计报告，他搜索提及管理密钥（admin key）或“治理”（governance）的内容，发现了其中的问题。

让我们看第42页的内容，如你所见，Peckshield使用了通俗易懂的英语，其向读者表明，Harvest项目的治理职责高度中心化且非常不稳定。

简单说，Harvest项目的资金，完全是由一个单一的以太坊账户所控制的，它并不涉及什么DAO，也没有多重签名。

2、Peckshield报告：Peckshield给出了一个表，所有的资金都是由同一个地址所控制，这在报告上有清楚的说明。

3、Haechi Labs：掌握着11亿美元资金管理密钥是一个匿名开发者

Chris Blec又针Haechi Labs的审计报告进行研究，发现了其中的问题：智能合约中所持有的10亿美元资金，开发者可随时将它们转移走。

4、社区消极应对警告：ChrisBlec试图联系Harvest Finance，但团队ChrisBlec禁止加入他们的Discord社区，并在Twitter上将其屏蔽。

在debank也在相关Harvest的风险提示，看起了这个风险一般的专业人员都能够发现。

在debank网站对于Harvest介绍中，在最后也提醒大家，“经 DeBank 与 Harvest 社区确认，目前项目相关策略的管理权限由一个外部地址单独控制，需注意相关风险。”

如果社区重新视，这一切可能不会发生，在警告出现后的第二天，黑客就来了，只是来的有些快。

大佬们总能先知先觉，万卉成功的避开了大坑：一直这在上面的农民真的是心大啊，Harvest的Vault的策略经常变化，并且几乎没有社区治理，外加开发者一直都是匿名。几个危险条件完全满足 （没有碰CREAM，Harvest还有后期的黄瓜，请叫我躲坑小能手）

跟万卉一样也有人躲过一劫，主要是看到了ChrisBlec的提醒

Harvest Finance事件黑客如何实现套利

根据官方的说法，像其他套利经济攻击一样，此次攻击起源于一笔巨额闪电贷。攻击者通过多次操纵 Curve Y 池的价格，以耗尽 Harvest 的 fUSDT、fUSDC 池的资金。攻击者随后将资金转换为 renBTC 并套现。像其他闪电贷攻击操作一样，攻击者动作迅速，没有给平台反映的时间，连续 7 分钟端到端地进行攻击。

马昊伯：利用闪电借钱套利，Harvest 亏钱，黑客赚钱

aelf 的创始人马昊伯：黑客可能是利用闪电借贷借了一大笔钱，然后把 curve 的价格搞到十分离谱，然后再到 Harvest 按照不合适的价格进行单边充值（亏钱的情况下充值），然后利用 Curve 将钱赎回。这样一来 Harvest 亏了，黑客就赚到了，Curve 也因为这波操作价格产生波动。而 Curve 的所谓亏损其实和 Uniswap 的 LP 亏损一样，是一种无常损失，价格会很快恢复。

超级比特币：黑客逃逸路线，u换成eth，再换成wbtc，再通过curve换成renbtc逃跑

慢雾：Harvest.Finance 被黑事件简析

慢雾总结：此次攻击主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在铸币时采用的是 Curve y池中的报价(即使用 Curve 作为喂价来源)，导致攻击者可以通过巨额兑换操控预言机的价格来控制 Harvest Finance 中 fToken 的铸币数量，从而使攻击者有利可图。

慢雾团队的这份总结报告，虽然简单，但把整个事件梳理的非常清楚，建议大家细品。

在微博上的大佬们总是会第一时间做出反应，如果没事，大家多刷刷微博

比特傻：大钱远离机枪池

harvest出事儿了，usdt和usdc被反复抽插套利。harvest作为机枪池，难逃其咎。上周五还有人问要不要放大钱在curve，比特傻答：大钱远离机枪池，没想到现在就出事儿了

神鱼：凡事挖crv的单币都有风险

黑客通过闪电贷瞬间操纵了CRV上稳定币的汇率，然后在harvest低价充值某稳定币、然后在CRV购回卖出稳定币，恢复正常汇率，harvest提现，赚取汇率差。理论上harvest上稳定币，btc凡事挖crv的单币都有这个风险，大家抓紧提现吧

区块链威廉：个位数的收益不值得冒险

随着流动性挖矿收益的降低，很多池子内收益年化已经不足10%，甚至一些稳定币的收益已出现了个位数。用10%的收益来做市挖矿，不仅面临着无常损失，还可能因为黑客事件，面临着本金丢失的风险，最终结果可能是得不偿失。

Harvest事件后续进展：评估保险方案以及赔偿策略，悬赏计划开始

目前 Harvest Finance 官方仍在对此事进行调查，并联合交易所来阻止事件恶化，但基本没有起到太大的作用。

Harvest 团队将在接下来的16小时内发布事后报告，并针对未来的可能发生的类似的经济攻击制定策略，包括评估保险方案以及赔偿策略。

10 万美金悬赏计划开始：

Harvest 团队表示，除了套现的 BTC 地址外，社区中流传着大量关于攻击者的信息，将悬赏 10 万美元寻找攻击者。此次悬赏仅仅是出于对平台用户资金的考虑，希望攻击者能将资金打回开发者地址，团队尊敬攻击者的技巧和聪明才智，不会对攻击者有其他方面的干扰。我们现在还掌握了大量关于攻击者的个人身份信息。他在加密社区颇为有名。

如果这一说明属实，这倒像是大V作案，应该是个高手，追回资金可能会有一定难度。

根据分析，此次攻击中，大约有2300万美金的USDT从Curve流出。Harvest Finance表示还在调查中，安全机构也正在参与调查。由于各大平台的DeFi理财项目很多在Curve上运行，目前尚不确定有多少投资者遭受损失。

Harvest事件带给我们的一些思考

有以下几个观点跟大家分享：

1、智能合约没有100%安全，审计有也不是万能解药。

审计公司收钱办事，你懂的。

2、智能合约代码是公开的，非常容易被黑客利用，选择一个靠谱的平台很重要。

3、机枪池风险更大，谨慎参与，因为它涉及的协议更多。

4、为了10%收益 ，面临无常损失和黑客风险是一笔很不合算的买卖，不值得冒险。

5、流动性挖矿不能只年看收益，收益低点无所谓，安全才是最重要的。

Harvest事件无论怎样最终结果如何，做出全额赔偿、消除事件对未来项目发展的影响，才是Harvest 团队最先要做的。我们要做的就是“吃一堑长一智”，面对DEFI市场各种高利诱惑，不可因小失大，保持清醒的头脑，保住自己的本金。因为牛市就要到来，千万不要让自己倒在牛市的路上。

参考资料：

https://harvest.finance/

https://www.8btc.com/article/661354

—-

编译者/作者：大白高国

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。