摘要:為您一文梳理Harvest黑客攻擊事件的經過、影響,以及后續補救措施。
10月26日,黑客利用閃貸從DeFi協議HarvestFinance的金庫中盜走了2400萬美元資金,盡管攻擊者事后歸還了大約250萬美元的資金,但Harvest用戶面臨的損失依舊超過了2000萬美元。對此,Harvest團隊發推稱承認編程漏洞屬于團隊責任,稱將按照快照將退還的部分資金返還給用戶,剩余被盜資金的賠償計劃還在研究中。同時請求黑客退還資金。
攻擊過程
整個攻擊過程持續了7分鐘,以下為慢霧安全團隊對此攻擊過程的簡要分析。
投資者對Coinbase回購1.5億美元債券興趣不大,或認為其還有上行空間:8月21日消息,Coinbase此前提出回購面值1.5億美元的債券,但迄今為止投資者對此興趣有限,這表明許多投資者認為這些債券還有更多的上行空間。該交易所周一表示,已將回購報價提高至每股67.5美分,目前已投標了面值為5000萬美元的債券。這些債券票面利率為3.625%,將于2031年到期,目前的交易價格約為面值的63.5美分。債券持有人要到9月1日才能做出最終決定并接受這筆交易。
此前消息,Coinbase提出回購部分未償還的垃圾債券,將以現金收購總額高達1.5億美元的2031年10月到期、利率為3.625%的票據。要約收購將于紐約時間2023年9月1日23:59到期(可能會延長)。[2023/8/22 18:14:12]
1.攻擊者通過Tornado.cash轉入20ETH作為后續攻擊手續費
WisdomTree計劃推出新的區塊鏈原生應用程序:金色財經報道,WisdomTree 首席執行官Jonathan Steinberg在周五的財報電話會議上表示,計劃推出新的區塊鏈原生應用程序,擴大現有資產管理產品的覆蓋范圍和功能是下半年工作的主要焦點。Steinberg稱,該公司將通過WisdomTree Prime生態系統的其他產品來利用多年的領先優勢,同時也會探索潛在的第三方分銷機會,點對點轉賬和支付等其他功能正在開發中。
Steinberg談道:“對于希望利用區塊鏈技術的金融服務公司、希望加深與客戶或機構參與者的關系、尋求具有更受監管的產品集的鏈上用例的科技公司來說,我們有很多機會通過多種方式來發展WisdomTree Prime平臺”。[2023/7/29 16:05:45]
2.攻擊者通過UniswapV2閃電貸借出巨額USDC與USDT
zkSync橋接用戶量突破50萬,TVL達2.35億美元:金色財經報道,據Dune數據顯示,以太坊Layer2擴容解決方案zkSync橋接交易的用戶數量已突破50萬,截至目前為500,267個,跨鏈橋接存儲總價值191,104ETH,按照當前價格計算約合2.35億美元。在其他L2跨鏈橋交易用戶方面,當前Arbitrum交易用戶量為482,831、Optimism為270,274、StarkNet為86,391。[2022/12/8 21:31:34]
3.攻擊者先通過Curve的exchange_underlying函數將USDT換成USDC,此時CurveyUSDC池中的investedUnderlyingBalance將相對應的變小
4.隨后攻擊者通過Harvest的deposit將巨額USDC充值進Vault中,充值的同時Harvest的Vault將鑄出fUSDC,而鑄出的數量計算方式如下:
PeckShield:Rari Capital事件的黑客參與Nomad跨鏈橋攻擊,獲利約300萬美元:8月2日消息,派盾(PeckShield)監測顯示,Nomad跨鏈橋攻擊者之一是Rari Capital被盜事件的黑客,他在此次Nomad攻擊中獲利約300萬美元。
據此前報道,今年4月份Rari Capital在Fuse上的資金池遭到攻擊,黑客獲利近8000萬美元。[2022/8/2 2:53:02]
amount.mul(totalSupply).div(underlyingBalanceWithInvestment);
計算方式中的underlyingBalanceWithInvestment一部分取的是Curve中的investedUnderlyingBalance值,由于Curve中investedUnderlyingBalance的變化將導致Vault鑄出更多的fUSDC
5.之后再通過Curve把USDC換成USDT將失衡的價格拉回正常
6.最后只需要把fUSDC歸還給Vault即可獲得比充值時更多的USDC
7.隨后攻擊者開始重復此過程持續獲利
事件影響
受此次安全事件影響,Harvest平臺代幣FARM幣價暴跌50%,截至發稿達112美金。
同時,由于操作需求,此次安全事件也為數個DeFi平臺帶來了可觀的交易手續費收入。
TheBlock研究總監LarryCermak對此發推稱,這其中約92%的交易量來自USDT/ETH交易對和USDC/ETH交易對。他們為Uniswap的LP產生了576萬美元的費用。
DeFi愛好者jiecut在推特上發表,受本次Harvest安全事件中,黑客在鏈上的操作為部分平臺帶來了比較可觀的收入。其中Uniswap的流動性提供者收入近600萬美元,平臺交易量從1.48億美元暴增到昨日的21.1億美元;CurveLP大約可獲得100萬美元;ETHGas費達10萬美元;RenVM的手續費為2萬美元。
補救措施方案
10月27日,HarvestFinance發表文章公布了針對此次安全事件的補救措施。
HarvestFinance團隊目前正在評估潛在的補救方案,并且將在接下來的版本中提現在新版本中的設計中,我們將在新金庫中加入升級功能以及替代基于時間鎖的投資策略,我們也會在新版本發布之前公布解決方案。
補救方法有以下幾種可能:
1.實施存款承諾與披露機制。廢除在單筆交易中執行存款與取款的功能,以此防止閃電貸攻擊。從用戶的角度來說,這意味著他們的代幣將通過單一一筆交易被轉入Harvest中。用戶也需要在另一筆交易中取出其份額。這會導致用戶體驗發生變化,因為有可能用戶需要支付更高、但仍能接受的Gas費。
2.加強對策略中的現有存款套利檢查配置。當前的閾值為3%,但這不足以使金庫免受攻擊。一個更高的閾值能提高這類攻擊的經濟成本。但是也有可能導致在自然的無常損失影響下存款受限制。周日的事件只持續了7分鐘,也就是說這種措施還沒辦法完全防止攻擊,只能作為其他手段的補充。
3.基礎資產提現。當用戶把錢存入使用共享池的金庫,他們的個人資產就被轉為共享池中資產。如果用戶只是提現基礎資產,他們就可以根據當前的市場情況將其兌換為組合資產。如果市場被操縱,交易也會跟著被操縱,這就能使得攻擊方無法獲取利潤。從一個普通用戶的角度來看,提取yCRV之后,用戶可以通過另一筆交易將其轉換為穩定幣。盡管用戶體驗會改變,但這也可以解決滑點的問題,因此對協議有利。這種方法的缺點是,它會將金庫提現機制和當前正在使用的策略綁定起來:如果將策略切換到一個不使用共享基礎池或使用不同池的其它策略,提現的幣種也會改變。
4.使用預言機來決定資產價格。雖然外界預言機如ChainLink或者Maker可以決定資產價值的大概值,這個值和真實的價格還有一定的聯系。如果DeFi項目內部的底層資產價格和預言機的報價出現差值,金庫就又面臨著投機和閃貸攻擊。所以,這并不是Harvest的理想解決方案。但是,Harvest還是會考慮在系統設計和補救措施中使用預言機。
周四(11月26日)亞市盤中,比特幣短線持續走低,一度跌破18000美元,昨日一度觸及19500美元,距離歷史高位20000美元上方不遠.
1900/1/1 0:00:00證券時報e公司訊,11月16日,中國銀行與青島市政府簽署全面戰略合作協議。中國銀行董事長劉連舸表示,下一步,中國銀行將加大對青島實體經濟的金融支持力度,深度參與膠東半島一體化、數字貨幣應用和推廣.
1900/1/1 0:00:002020年12月12日,星期六,富藝斯聯同Bacs&Russo舉辦“心跳加速紐約鐘表拍賣會”.
1900/1/1 0:00:00隨著投資者追蹤首批新冠肺炎疫苗在美國的部署情況,以及有關刺激法案的談判繼續進行,本周一黃金價格開盤企穩.
1900/1/1 0:00:00年初ksm上線從剛開始的0.5u,到現在的40U,真正的漲幅已經80倍,很多人只知道炒幣,但是不懂炒幣背后的邏輯,今天我們來扒一扒.
1900/1/1 0:00:00數字經濟時代,人們對于支付安全性、便捷性的要求越來越高,法定數字貨幣的研發和應用也成為大勢所趨。近年來,全球多國都在加緊研究數字貨幣,中國也不例外。目前,我國的數字人民幣研發工作正在穩妥推進.
1900/1/1 0:00:00