如何在不到7分钟的时间内“合法”赚取2500万美元-另一个Flash贷款DeFi攻击目标是

3分钟前| 亚兹·谢赫（Yaz Sheikh）

攻击者从DeFi协议Harvest中抽走了2500万美元

好吧，它又发生了！

这个周末，一名黑客设法对DeFi协议Harvest进行了快速贷款攻击，并设法从他们的一个资金池中耗资2500万美元。 如果回想起2月，您可能还记得bZx协议发生过类似的攻击，我们发布了一篇文章“如何在几分钟内免费赚取30万美元+ 60万美元合法”-嗯，这非常相似我将为您介绍实际发生的情况。

在2500万美元的攻击发生后，每个人都将矛头指向了Harvest Finance（$ FARM）背后的匿名开发人员。 但是，在更深入地了解发生的事情之后，他们不应该责备-尽管他们确实对整个过程负责。

让我从头开始。

Harvest Finance是一种DeFi农业协议，可自动为您寻找最佳农业产量。 您可能听说过Yearn Finance，它会自动搜索最佳贷款利率以从您的加密货币存款中赚取利息。 好吧，Harvest Finance相对相似，但是，Harvest Finance不会寻求最高的贷款利率，而是会寻求最高的农业产量并将您的资金部署到那里。

匿名团队将其描述为自主对冲基金。

该协议直到9月初才启动，但很快吸引了超过10亿美元的总锁定价值（TVL）。 自那以后，这笔钱已降至4亿美元：

让我详细介绍攻击者所做的事情，您可以在此处确定谁出了错。 我将尝试使其尽可能简单，以确保我不会对所有技术细节感到厌烦。 我还将舍入这些数字以使其更容易理解。

首先，必须注意，Harvest Finance根据其幕后的智能合约执行投资策略。 要输入，您需要将令牌存放到协议中以获取fToken（USDC到fUSDC等）。 然后将这些fToken存入金库，以计算要发行给存户的股票数量。

存放在金库中的资产存放在基础DeFi协议的共享池中，例如Curve.fi上的Y池-发生攻击的位置。

发生了什么

攻击发生在UTC时间10月26日凌晨3点。 简而言之，攻击者获得了一笔快速借贷，并以此对USDC和USDT保险库进行套利攻击，以使它们能够以优惠的价格进入协议。 退出后，优惠价格恢复正常，攻击者获利。

攻击者随后将其收入转换为renBTC，并试图隐藏其通过Tornado Cash的退出路径。

攻击者收到的USDC和USDT完全由Harvest保险库的付款方支付，完全不与Y池交互。 因此，USDT和USDC的Harvest Finance储户遭受了打击，并损失了资金。

善后

攻击发生在不到7分钟的时间内，因此Harvest Finance团队无能为力。 他们从Y池中撤出了所有用户资金，以防止进一步的黑客攻击尝试。

但是，非常有趣的是，攻击者实际上将大约250万美元退还给了Harvest部署器-因此受害者得到了一些回报。

攻击者似乎在玩游戏，因为他们实际上可能耗尽了锁定在Harvest Vault中的全部4亿美元。 取而代之的是，攻击者决定停止提供2500万美元，然后又退还250万美元？ 这里似乎还不算什么。

Harvest Finance推出了一个“事后模式”，并表示他们对此次攻击承担全部责任：

-我们对此工程错误负责，并确保将来减轻此类事件
-为受影响的用户制定补救计划是当务之急
-我们谦虚地要求将资金退还给部署者，以便可以将其退还给用户

—丰收金融（@harvest_finance）2020年10月26日

同时，Uniswap流动性提供者从攻击者通过协议发送的费用中获得了很多收益。

Uniswap的交易量异常大，从昨天的1.48亿美元猛增到今天的20亿美元。 为什么？ $ FARM漏洞利用者正在通过Uniswap赚钱。 Uniswap LP的好日子。 pic.twitter.com/g4HQ3sHFU7

-拉里·塞尔马克（@lawmaster）2020年10月26日

Uniswap LP总共获得了600万美元的费用。 Curve Fi LP赚了100万美元。 以太坊矿工的GAS费用为100,000美元，RenVM的费用为20,000美元。

最后，实际上看来，Harvest Finance可能有某种想法发起了攻击：

结论

第二次快速贷款套利攻击使DeFi成为现实。 您有失去资金的风险，如果您想参加，必须承担此风险。 它只是表明这是一个“实验”领域，并且涉及一些风险。

但这是黑客尝试吗？

重要的是要注意，Harvest Finance已由镇上最好的审计师PeckShield，Haechi Labs和CertiK进行了审计，并为它开了绿灯。

—-

原文链接：https://coincodex.com/article/9799/how-to-make-25-million-in-under-7-minutes-legally-another-flash-loan-defi-attack-targets-harvest-protocol/

原文作者：Yaz Sheikh

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。