USDC:Harvest官方詳解被黑客套利2400萬美元的過程，閃電貸只是其中一環

編者按：本文來自巴比特資訊，作者：HarvestFinance，編譯：灑脫喜，星球日報經授權發布。10月26日，黑客利用閃電貸從DeFi協議Harvest的金庫中盜走了2400萬美元資金，而根據Harvest官方的分析報告顯示，閃電貸只是這次攻擊的一環，具體還涉及到了DeFi協議的無常損失問題，盡管攻擊者事后歸還了大約250萬美元的資金，但Harvest用戶面臨的損失依舊超過了2000萬美元，對此，Harvest官方發出了懸賞，并請求黑客歸還剩余的資金。總結：我們對這一工程錯誤負責，并確保此類事件在未來得到緩解；為受影響的用戶制定補救計劃是我們在未來一周的首要任務；我們謙卑地請求攻擊者將資金退還給部署者，以便可以將它們分配給受影響的用戶；發生了什么？

UTC時間10月26日2:53:31，一名攻擊者從HarvestFinance的USDC和USDT金庫中竊取了資金。攻擊者利用了影響Curve.fiY池中個人資產的套利和無常損失進行了攻擊，而Curve.fiY池正是Harvest金庫投資的地方。協議的以下機制允許執行此類攻擊：Harvest的投資策略計算投資于基礎實時協議資產的實時價值。金庫使用資產的價值來計算將要發給資金存放用戶的股份數量。當用戶從金庫中取出資金時，它們還使用資產的價值來計算用戶退出時應收到的支出。一些金庫中的資產存放在底層DeFi協議的共享池中。這些資產池中的資產會受到無常損失、套利和滑點等市場影響。因此，它們的價值可通過大量的市場交易來操縱。攻擊者反復利用Curve.fiY池中USDC和USDT的無常損失影響。他們利用被操縱的資產價值將資金存入Harvest的金庫，以一個對其有益的價格獲得金庫股份，然后以正常的價格退出金庫，從而產生利潤。以下是這次攻擊事件的跟蹤鏈：攻擊者的錢包地址是0xf224ab004461540778a914ea397c589b677e27b，其部署了一個合約0xc6028a9fa486f52efd2b95b949ac630d287ce0af，通過該合約，他們于UTC時間2020年10月26日02:53:31執行了攻擊。而進行攻擊的10ETH是通過0x4b7b9e387a79289720a0226f695913d1d11dbdc681b7218a432136cc089363c4這筆Tornado交易來隱藏來源的。攻擊本身在0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877這筆交易中發起。攻擊者從Uniswap獲得大量USDT以及USDC，以注入攻擊合約中。該合約通過Y池的互換交易將17,222,012.640506USDT兌換成了USDC。互換的影響是，由于其它資產發生了無常損失，Y池內的USDC價值較高。這個智能合約獲得的金額大致相當于17,216,703.208672USDC；攻擊者將49,977,468.555526USDC存入Harvest的USDC金庫，以每股0.97126080216USDC的價格接收51,456,280.788906fUSDC。在攻擊之前，每股fUSDC的價格為0.980007USDC，因此攻擊者將股份價值降低了大約1%。Harvest策略內部的套利檢查沒有超過3%的閾值，因此沒有還原這筆交易。攻擊者通過Y池將17239234.653146USDC兌換回USDT，結果是，由于無常損失效應的恢復，因此在Y池中獲得了USDC的原始較低值。攻擊者從而收回了17,230,747.185604USDT。攻擊者從Harvest的USDC金庫中提幣，用所有fUSDC的股份交換回了50596877.367825USDC。由于Y池內的USDC值下降，每股fUSDC的價格為0.98329837664USDC。USDC完全由Harvest的USDC金庫支付，完全不與Y池交互。如此進行一次，攻擊者的凈利潤就是619408.812299USDC，而攻擊者在同一筆交易中重復了幾次該過程。在4分鐘內針對USDC金庫執行了17筆攻擊交易后，攻擊者以類似的方式對USDT金庫重復該過程，從交易0x0fc6d2ca064fc841bc9b1c1fad1fbb97bcea5c9a1b2b66ef837f1227e06519a6開始。他們在另外3分鐘內完成了13筆針對USDT金庫的攻擊交易。在UTC時間2020年10月26日03:01:48，攻擊者將13,000,000USDC和11,000,000USDT從攻擊合約中轉移至地址0x3811765a53c3188c24d412daec3f60faad5f119b。攻擊者隨后又在0x25119cd54a4562aa427d9770af383512f9cb5e8e4d17232ad96b69dc293a3510這筆交易中將部分資金轉移回Harvest部署者地址，涉及1761898.396474USDC和718,914.048541USDT。HarvestFinance在評估了這次攻擊并重構攻擊過程后，立即從共享池中取出了所有資金，這包括DAI、USDC、USDT、TUSD、WBTC以及renBTC。這些資金目前都在金庫中，不再受到市場操縱的影響。這次攻擊并沒有涉及DAI、TUSD、WBTC以及renBTC，這些金庫的存儲用戶也沒有受到影響。攻擊發生后，USDC金庫的股份價格從0.980007下跌至0.834953USDC，而USDT金庫的股份價格則從0.978874跌至0.844812USDT，兩者分別下跌了13.8%和13.7%。用戶損失的價值大約為3380萬美元，相當于攻擊前協議中鎖定總價值的3.2%。與攻擊有關的事務日志可觀察攻擊者的地址0xf224ab004461540778a914ea397c589b677e27b。下一步

CoinShares調查：資產管理公司支持比特幣但持有更多以太坊:金色財經報道，CoinShares對資產管理公司的一項調查報告顯示，比特幣被認為是增長潛力最大的加密貨幣，但以太坊仍然在其投資組合中占據最大地位。共有51家管理資產規模總計9000億美元的投資者參與了此次季度調查，其中43%的投資者表示BTC的上漲潛力優于ETH，但鑒于70%的受訪者來自歐洲和中東，其中約25%來自北美，約5%來自亞洲，這項調查可能無法準確反映美國投資者目前的情緒。

此外，托管問題和可用性是機構投資者不愿配置數字資產的原因。[2023/7/19 11:03:20]

HarvestFinance協議有一個定期的每周計劃表，它需要保持所有農民的持續收益。根據2020年10月27日的排放計劃，HarvestFinance團隊宣布鑄造19637.46枚FARM代幣。而社區要求的，原定于10月27日發布的智能合約改進計劃將被推遲，以便在攻擊背景下再次評估其安全性。金庫中使用共享池的資金，將繼續從策略中提取，直到此類攻擊的緩解措施到位。這些措施，以及為受影響的用戶提供補救的基礎設施，將是團隊下一個開發重點。我們對這一工程錯誤負責，并確保此類事件在未來得到緩解。未來可能的緩解措施

HarvestFinance團隊致力于評估可能的緩解策略，并在即將發布的版本中實施這些策略以及任何必要的用戶體驗更改。我們將利用新金庫的可升級特性，以及基于時間鎖的投資策略替換，并在發布前很好地與社區溝通緩解策略。可能的修復技術包括以下這些選項：實現存款的提交和顯示機制。這將消除在單筆交易中執行存款和取款的能力，因此，基于閃電貸的攻擊就變為不可行了。就用戶而言，這意味著在存款期間，他們的代幣將在一次交易中轉移到Harvest。用戶隨后會在另一筆交易中claim他們的股份，最好是在不同的區塊中。這將構成用戶體驗的變化，并可能導致更高，但仍可接受的gas成本。一個更嚴格的配置現有存款arb的檢查策略。當前的閾值設置為3%，因此不足以保護金庫免受此類攻擊。一個更嚴格的閾值可能使這種攻擊在經濟上不可行，然而，在自然無常損失效應的情況下，它可能會限制存款，周日的事件超過了7分鐘，這表明，這一措施不夠有效，因此應被視為對其他措施的補充。基礎資產的提取。當用戶存入使用共享池的金庫時，他們會有效地將其單個資產交換為池資產。如果用戶只提取基礎資產，他們就可以根據當前的市場狀況將其交易為資產組合。如果市場受到操縱，交易也會受到這種操縱，這將阻止攻擊實體產生利潤。從普通用戶的角度來看，提出yCRV之后可以在單獨的交易中轉換為穩定幣。雖然這需要進行UX方面的改變，但它可能有利于協議。而這種方法的缺點是，它將金庫提取機制與當前正在使用的策略綁定在一起：如果一個策略切換到另一個不使用共享基礎池的策略，或者使用不同的池，則提取所產生的資產也會發生變化。使用預言機來確定資產價格。雖然一個近似的資產價格可有效地從外部預言機中確定，但是它與實際股份價格的聯系非常松散。如果底層DeFi協議內的資產價值與預言機報價不同，金庫將面臨自由套利和閃電貸攻擊。這不是Harvest的解決方案，但是，在系統設計和可能的緩解策略中，我們將考慮使用預言機。針對丟失USDC和USDT資金用戶的補救方法

Haru Invest：由于未完全確定B&S可收回資產規模，計劃利用公司內部資產進行補償:7月14日消息，Haru Invest發文稱，由于尚未完全確定B&S Holdings持有的可收回資產的具體規模，目前很難追償，因此正在考慮利用公司內部資產進行補償，以防 B&S 持有的資產回收需要更長的時間。為此，Haru Invest正在整理債權債務數據庫，并審查資產分配方案。同時，Haru Invest表示，需要為每個產品制定一個補償計劃。

目前，團隊在暫停存取款服務后，暫停了所有運營，限制了對公司資產和賬戶的訪問，并終止了全體員工的合同，以防止與B&S持有的資產和數據相關的損壞和丟失，并最大限度地降低運營成本以保護客戶資產的損失。此外，由于客戶資產金額是根據上個月暫停存取款后數據庫中的特定時間點確定的，因此，如有系統錯誤或額外交易，如賺取收益等，團隊將提前告知用戶，未來付款可能不會納入客戶資產數據庫。

本周開始，Haru Invenst 準備組織數據庫來識別客戶債權與債務、組織和保存退回的資產、制定資產分配計劃。[2023/7/15 10:56:11]

通過快照和MerkleDistributor分發攻擊者已退還的資金，我們與幫助創建這些工具的開發人員聯系，并致力于構建可為受影響的用戶提供補救措施的基礎架構。分配資金是當務之急，一旦工具被構建出來后，我們將會發布更多關于資金分發的細節信息。其他補救方法將在治理中進行分析和表決。攻擊者信息和賞金

Fidelity、21Shares和WisdomTree已更改了向SEC提交的有關比特幣現貨ETF申請的文件:金色財經報道，Fidelity、21Shares和WisdomTree在內的幾家金融巨頭已更改了向美國證券交易委員會提交的有關比特幣現貨ETF申請的文件。兩周前，貝萊德向美國證券交易委員會申請推出比特幣現貨交易所交易基金，此舉引起了人們的關注。雖然它絕對不是第一個嘗試運氣的公司，但它無疑是這樣做的最大的金融實體。這一舉動被其他幾家知名公司效仿，其中包括復制了貝萊德申請的富達投資公司，而方舟投資公司則將自己的申請更改為與貝萊德相同的申請。

據知情人士稱，美國證券交易委員會對最近的文件并沒有留下深刻的印象，因為它們“不夠清晰和全面”。[2023/7/3 22:13:53]

攻擊者使用了新生成的以太坊地址0xf224ab004461540778a914ea397c589b677e27bb來執行這次攻擊；Tornado交易0x4b7b9e387a79289720a0226f695913d1d11dbdc681b7218a432136cc089363c4；攻擊在0x35F8D2F572FCEAAC9288E5D46211780EF2694786992A8C3F6D02612277B0877這筆交易發起；攻擊者通過REN協議將比特幣傳輸到以下地址：1Paykw4s2WX4SaVjDrQkwSiJr16AiANhiM1HLG86DDEzAxAGmEzxr1SUfPCWcnWA6bMm14stnrgMFNR4LesqQRUdo5n1VUx9xdAMeg18w2Bm2cCsbLjWQU9BcnjzK8ErmzozrVa31FS2t2eAjmjaNmADN6SMHYo7G4XGpX1osS1NdAJ89k1qpRMpZLwuYGQ7VnM45xD2NJXa1CLHhshrusvT4XADWA29R2H4ndsSUamEWn然后，攻擊者將幾筆交易發送到已知的Binance存款地址：https://blockstream.info/tx/7777569f003193ae59dbc5afbbf8bfbf3ac6c8ce8a8ec2b8707de14ddc3329a6https://blockstream.info/tx/9fcc273f2d50fc5824b8fd0bbe832831d02e7fe04bcc09d143e787455c602195我們向第一個幫助我們找回資金的個人或團隊提供10萬美元的賞金。如果是在接下來的36小時內完成退還，則賞金為40萬美元。請不要在這個過程中人肉搜索攻擊者，我們強烈建議將所有努力集中在確保用戶資金成功返還給部署人員上。關有關閃電貸攻擊者的信息：攻擊者已經證明了他們的觀點。如果他們能將資金返還給用戶，社會各界將不勝感激，將資金返還給受影響的用戶是重點。我們犯了一個工程錯誤，我們承認了。成千上萬的人遭到了附帶損害，因此我們謙卑地請求攻擊者將資金退還給部署者，然后將資金全部分配給用戶。

CoinShares在六家瑞士交易所上架Polkadot ETP:金色財經報道，歐洲最大的數字資產投資公司CoinShares宣布公司實物支持的 Polkadot ETP已在瑞士蘇黎世的六家交易所上市。CoinShares Physical Stake Polkadot（代碼：CDOT）的交叉上市表明了公司致力于通過受監管的方式為歐洲投資者提供進入數字資產市場的機會。管理費：減至每年 0.0%；獎勵：每年 5.0%。（prnewswire）[2022/2/24 10:14:10]

倫敦服裝設計師Charli Cohen將發布Genesis Digi-Fizzy ERC-1155 NFT:數字時尚拍賣交易平臺DIGITALAX宣布倫敦服裝設計師Charli Cohen合作，Cohen將在DIGITALAX鏈上庫發布Genesis Digi-Fizzy ERC-1155 NFT。Cohen將開放其源代碼，未來的設計師可以根據部分版稅分配將它運用到其服裝中。

據悉，2020年12月，DIGITALAX首次正式推出時引入了部分服裝所有權的概念，允許獨立藝術家和創作者以ERC 1155代幣的形式發行數字材料、圖案和紋理。在鏈上記錄和鑄造這些東西，將其添加到DIGITALAX鏈上數字庫并且開源。

Cohen發布的圖案將用于特殊版本的數字和實體服裝。數字服裝由藝術家Kodomodachi設計，實體服裝是限量版的Charli Cohen夾克。買家可以通過DIGI組合（DIGI Bundle）購買這個Digi-Fizzy混搭時尚品，該產品將在其電競平臺ESPA發布時上線DIGITALAX Matic市場。[2021/3/20 19:03:18]

Tags：USDUSDCSDCVESTTUSDBAUSDCcusdc幣是什么INVEST幣

歐易交易所app下載