DeFi項目Harvest Finance造成用戶損失超2000萬美元，知名KOL提醒用戶撤離_VEST:EST

10月26日消息，鎖定資金量超10億美元的DeFi項目HarvestFinance被曝遭黑客攻擊，據稱已造成大約2400萬美元的損失，很多參與者自稱損失了15%以上的資金，受此消息影響，Harvest的治理代幣FARM一度暴跌70%以上。

而Harvest項目方則發布推文解釋稱：

“這次攻擊和其他套利經濟攻擊一樣，緣于一筆大額的閃電貸，攻擊者多次操縱curvey池以提取fUSDT和fUSDC資金，隨后將資金轉換成renBTC，并退出為BTC。”此外，Harvest項目方還表示：

“我們正致力于減輕對穩定幣和BTC池的攻擊，一旦有更多細節可用，我們將會進行實時更新。”而據DeFi之道提供的最新消息顯示，黑客以USDT和USDC的形式歸還了大約247.8萬美元的資金，約占到被盜資金量的10%，而Harvest項目方則表示隨后會將這些資金歸還給受影響的用戶。?

DeFi社區炸鍋，知名KOL提醒用戶應撤離Harvest

目前，關于這次Harvest攻擊的信息依舊非常有限，而DeFi社區的知名參與者則發出提醒稱，Harvest用戶應盡快將其資金從該項目的合約中提取出來。

Wintermute Trading已向交易所存入260萬枚DYDX:金色財經報道，據Lookonchain監測，Wintermute Trading已向交易所存入260萬枚DYDX（約合508萬美元），目前還剩 525,413枚DYDX（約合102萬美元）。在Wintermute Trading開始向交易所存入DYDX后，DYDX的價格下跌了約8.5%。[2023/7/4 22:16:29]

截至發稿時，Harvest合約鎖定的資金已驟降至5.9億美元，較24小時之前下滑42.41%。

而在這次攻擊發生的前一天，DeFi觀察者ChrisBlec則揭示了Harvest項目所存在的巨大風險，其提到稱，Harvest項目合約所鎖定的10多億美元資金，完全受匿名開發者的控制，并且開發團隊存在刻意隱瞞這一事實的嫌疑。

以下是譯文內容：

DeFi的發展太快，要跟上它的節奏實在太難，即使是我也是如此。

但這并不意味著我們無法保證安全，并且我們不必成為開發者就可以做到這一點。

在這篇文章中，我將分享自己發現HarvestFinance存在高危管理密鑰風險的步驟，而這一事實危及到了用戶的資金。

Cathie Wood：2030年BTC將達到100萬美元:金色財經報道，Ark Invest首席執行官Cathie Wood一直是加密多頭中的加密多頭。近日，Cathie Wood重申了她對比特幣的熱愛，并聲稱2030年BTC將達到期待已久的100萬美元價格。盡管今年加密貨幣經歷了不好的一年，但Cathie Wood相信比特幣和其他山寨幣將從最近幾天發生的一切中恢復過來。雖然可能需要一段時間，但她說所發生的一切都有好的一面，因為它淘汰了所有弱者，確保只有強者才能生存，以保持加密空間持久和穩固的地位。

Wood進一步表示，如果一些機構投資者愿意適當地研究情況并對發生的事情做功課，他們最終可能會更喜歡比特幣和加密貨幣。一旦他們真正做了功課，看看這里發生了什么，我認為他們實際上可能更愿意進入比特幣，也許是以太坊，作為第一站，因為他們會更了解它。[2023/1/3 22:21:20]

就在昨天，當我查看DeFiPulse，并看到排行榜中排名第四的項目HarvestFinance時，其鎖定的資金量已超過了10億美元，但我發現自己對這個項目并不了解。

我第一次聽說HarvestFinance，是他們為許多GitcoinGrants參與者捐款50,000美元，當時其宣布這一消息時，我確實有關注到它。

Web3娛樂公司Orange Comet收購Mint State Labs:金色財經報道，Web3娛樂公司Orange Comet, Inc.今天宣布收購游戲技術提供商Mint State Labs。Mint State Labs的首席執行官Peter Morales將擔任首席技術官，繼續監督Orange Comet的數字基礎設施和技術發展。 收購的條款沒有披露，但Mint State Labs的領導層和所有員工及承包商將加入Orange Comet。 （prnewswire）[2022/12/23 22:02:36]

兩天前，我突然注意到一條關于Harvest鎖定資金量突破10億美元的推文。

看到這一點，我記下了要檢查的內容。Harvest是目前市場上眾多的收益農耕項目之一，我還沒有時間去研究每一個，但是突破10億美元的項目，無疑會讓我產生興趣。

我的第一站就是看他們的網站，找到它并不難，他們的官方Twitter介紹里就有鏈接。

這是一個典型的收益農耕用戶界面，在點擊了一段時間后，我發現他們接受了多個代幣存款，包括UniswapLP代幣，我開始想知道，這個項目的去中心化程度到底有多高。

CZ發布長推特：“FUD幫助我們成長”:12月13日消息，CZ發布推特解釋近日FUD現狀，并直言“FUD 幫助我們成長，盡管它們非常煩人。”

CZ稱，從創業開始就有大型交易所(現在非常小)贊助FUD活動、發布一系列FUD文章。此后，幾乎每周幣安都將發生FUD。[2022/12/13 21:41:42]

這一部分實際上非常重要，因為很少有DeFi用戶會這么干。任何時候，當一個智能合約接受存款時，你首先要問的問題是“這個產品的去中心化程度如何？資金是如何被持有的？有管理密鑰嗎？如果有的話，它能夠做什么？”

一旦這些問題出現在你的腦海中，那你就需要在存款之前得到答案。如果你在沒有答案的情況下就存款，那你就是在賭博。

我開始點擊他們的FAQ和Wiki標簽，直到找到一些線索。首先，我看到Harvest的“技術資料”里提到了時間鎖。

如你所見，在“技術資料”中沒有提及關于管理密鑰的其他內容。

什么是時間鎖？它是一種智能合約，它為以太坊管理密鑰調用的任何交易添加延遲，從而讓用戶有時間檢查交易，并及時取出自己的資金。

美CFTC主席：2014年以來共計60多項加密執法行動，都與匿名舉報有關:10月25日消息，據外媒報道，美國商品期貨交易委員會（CFTC）主席 Rostin Behnam 表示，該機構“最大的成就”是其與加密相關的執法行動的記錄，CFTC 在執行針對加密貨幣公司的大宗商品法律時，并不打算“反復無常”，但他仍愿意在 CFTC 如何應用現有法律以鼓勵加密貨幣交易平臺進入監管范圍方面“保持創造性”。

Rostin Behnam補充道，CFTC自2014年以來采取的所有60多項與加密相關的執法行動，都是匿名舉報的結果，CFTC目前沒有資源進行自己的數據分析和調查。（CoinDesk）[2022/10/25 16:37:53]

也就是說，如果沒有某種密鑰，那就根本用不到時間鎖。

所以當我看到時間鎖這個詞，而技術資料中沒有提及管理密鑰或它能夠做什么時，我知道我必須更深入地調查這個項目。

在他們的Wiki頁面上，我發現了一個名為“HarvestSecurity”的鏈接。通常，當你在DeFi產品網站上看到一個叫做“Security”的頁面時，你一定會找到一些審計報告。而我確實也看到了。

HarvestFinance在其網站上提供了兩份審計報告，這兩項審計都是在9月份完成的，分別由知名的安全公司Peckshield和HaechiLabs所提供。

首先，我點擊Peckshield審計的鏈接，然后我看到的是這個：

顯然，這不是什么好事。

我只花了3秒鐘就注意到URL是不正確的，以及“https://github.com…”之前的所有內容都應被刪除。

在繼續之前，讓我問你，作為一名非開發人員，你會在這里停下來放棄嗎？還是說，你會花點時間查看URL并嘗試找出問題所在？

我不知道這是否是Harvest團隊無意犯的錯誤，還是其故意阻止他人查看審計報告的一種方式。但是，我確實知道，用戶必須要勤奮地尋找他們需要的信息，以作出明智的決定-即使這些信息被隱藏了起來！

所以，我修改了URL，并得到了Peckshield的實際審計報告：https://github.com/harvest-finance/harvest/blob/master/audits/PeckShield-Harvest.pdf

看起來很嚇人，不是嗎？

好吧，不一定如此，你無需成為開發者即可查看審計報告，并獲得一些非常重要的，有關智能合約系統的線索。

打開審計報告時，我要做的第一件事，就是搜索提及管理密鑰或“治理”的內容。

這很容易就能找到。

讓我們看第42頁的內容，如你所見，Peckshield使用了通俗易懂的英語，其向讀者表明，Harvest項目的治理職責高度中心化且非常不穩定。

“當前由一個EOA賬戶所控制，這引起了社區的必要關注。”簡單說，Harvest項目的資金，完全是由一個單一的以太坊賬戶所控制的，它并不涉及什么DAO，也沒有多重簽名。

在審核結果中，Peckshield給出了一個表，其中所有的資金都是由同一個地址所控制

閱讀審計報告時，請務必記住，項目方通常要為審計公司支付費用，而當你在審計報告中看到類似這種表時，實際上代表審計公司在通知你，該項目實際存在一些非常真實的危險，審計公司希望在不完全激怒客戶的情況下盡可能地誠實。接下來，查看HaechiLabs的審計報告：https://github.com/harvest-finance/harvest/blob/master/audits/Haechi-Harvest.pdf

我再次掃描了目錄，然后看到了這個重要的提醒：

讓我們再仔細看看。

這意味著，這些智能合約中所持有的10億美元資金，開發者可隨時將它們轉移走。

管理密鑰對于DeFi來說并不是什么新現象，而且HarvestFinance并不是唯一使用它的項目。但是，對于一個掌握10億美金巨額資金的項目而言，管理密鑰的存在是令人感到害怕的。

因此，我問自己的下一個問題是：

“是誰擁有這個功能非常強大的管理密鑰？讓我們和那個人談談。”我回到了HarvestFinance網站和他們的Wiki頁面，然后找到了“常見問題”部分內容，這給了我答案。

不，上帝，請不要告訴我，這個掌握著11億美元資金管理密鑰的人竟然是一個匿名開發者。

上帝：對不起，這是事實。

該死的。

這個事實讓我感到震驚，10億美元由一個管理密鑰控制已經夠糟糕了，更糟糕的是，掌握這個密鑰的人是在未知國家/地區的陌生人，這一事實將其推向了另一個新高度。

所以，我要大聲告訴大家：

如你所見，我確實了解到，由于審計報告已經完成，Harvest匿名開發者添加了一個前面所提到的時間鎖，這是一個只有12個小時的時間鎖，它不足以為用戶提供提供安全保護。

在找到此信息之后，合理的下一步是嘗試從HarvestFinance社區和開發者那獲取更多的信息，但情況不是很好，我因為詢問誰持有管理密鑰而遭到語言攻擊。HarvestFinance團隊禁止我加入他們的Discord社區，并在Twitter上將我屏蔽。

現在，我不僅知道HarvestFinance所持有的資金處于非常危險和不安全的境地，而且我也知道他們的匿名開發者對質疑聲持抵制態度，這些對于投資者來說都是不利因素。

這種情況將來會改變嗎？如果有一天該項目的匿名開發者充分地分散了當前的管理密鑰，那么它可能再值得一看。

但在那之前呢？這是一個不可接觸的DeFi產品。

將以上這些步驟應用到你感興趣的每一個DeFi產品上，你將能夠作為一個非開發人員而生存下來，祝你好運！

Tags：VESTVESESTARVharvestfinance幣發行價InvestFeedVESTXMarvin Inu

MANA