DeFi项目Harvest惨遭黑客攻击2400万美金被盗

昨天整个币圈最轰动的事情，大概就是Harvest.Finance遭到黑客攻击这件事了。

在昨天中午的时候，网上突然爆出消息说defi项目Harvest.Finance开心农场疑似遭到黑客攻击。

消息一出，便引起了整个币圈的轰动。毕竟这是地方项目至今第1次出现大规模被黑客攻击的情况。

在介绍这次黑客攻击事件之前，首先我先来向大家介绍一下这个暴雷的Harvest项目究竟是一个什么项目。Harvest和目前市面上的很多Defi项目类似，是一个机枪池，只要大家把代币存进去，Harvest就会拿着大家的资金去投资赚钱。

可是目前市面上的Defi项目那么多，凭什么投资者要选择Harvest呢?为了吸引大家的注意，Harvest在帮大家赚钱的同时，还会给大家发放自己开发的代币Farm。这样一来，投资Harvest的用户不但能够获得平台的投资收益，而且还可以拿到代币Farm。质押一次，两种收益，这对谁来说都是一个不小的诱惑。

正是因为这个不小的诱惑，让Harvest的锁仓资金在十月中旬突破了10亿美金。

了解完Harvest之后，我们再来看看昨天黑客是如何攻击赚钱的。

最开始的时候，这位黑客通过 Tornado.cash 转入 20ETH 作为攻击的手续费。

准备就绪后，黑客通过 UniswapV2 闪电贷，从系统当中借出巨额的 USDC 与 USDT。

在这，我来解释一下什么叫做闪电贷。闪电贷是 DeFi 生态的一个新名词。我们知道通过DeFi借钱，需要超额质押。所谓的超额质押就是，如果我想借50块钱，那么我必须在DeFi平台上质押大于50块钱的资产，才能借出50块钱。这种模式导致DeFi资金的利用率十分低下。

于是就有人设计出来了“闪电贷”。闪电贷允许借款人无需抵押资产即可实现借贷，从而极大提高资金利用率。

那么闪电贷是如何实现无抵押借贷的呢?

如果一个人要进行闪电贷，那么他必须满足一个限制条件。这就是他必须在一次交易中完成贷款-操作-还款的完整操作。

如果还款操作最终没有被完成，即贷款者没有还钱，那么之前的整个交易就会被回滚。回滚之后，就相当于这笔借款从没发生过。

黑客通过闪电贷借出巨额的 USDC 与 USDT之后，就通过 Curve的exchange_underlying函数将USDT换成 USDC。

我们知道，像curve这样的稳定币池，它和Uni自动做市的原理是一样的。假设curve的稳定币池里有10000个USDC和10000个USDT，此时USDC和USDT的价格比值是1:1.如果突然有人用大量的USDC兑换USDT。那么就会导致池中的USDT因为供应量不足而升值，然后会出现USDC和USDT的价格比值变成1:2这种情况。

利用这个原理，随后黑客通过 Harvest 的 deposit 将巨额USDC充值进 Vault 中，充值的同时Harvest的Vault 将铸出 fUSDC。之后，黑客再通过Curve把USDC换成 USDT ，将失衡的价格恢复正常。

最后，黑客只需要把 fUSDC 归还给 Vault 就可以获得比充值时更多的 USDC。然后，黑客通过重复操作，实现持续获利。据说昨天黑客利用这种操作获得了2400万美金的利润。

正是因为这种情况的发生，让在Harvest上做市的投资者普遍损失了15%的本金。

受此消息的影响，Harvest Finance的代币FARM的价格也在短时间内跌去了65%。为了本金安全，投资者们更是从平台上撤出了约3.5亿美元的资本。

事情发生后，Harvest Finance在推特上公开表示将悬赏10万美金奖励给首位成功和黑客取得联系并帮助返还用户资金的人。

另外，Harvest Finance表示，他们已经掌握了黑客持有资金的BTC地址以及大量关于黑客个人身份的信息。

Harvest Finance甚至喊话黑客：“您已经证明了自己的观点，如果可以将资金退回，社区将不胜感激”。

由于事发突然，Harvest Finance也进入了紧急阶段。Harvest Finance表示，他们将在事发后接下来的16个小时内持续发布事后报告，并针对后面可能发生的危机制定应对策略。

—-

编译者/作者：善水论币

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。