Harvest Finance遭闪电贷攻击,DeFi安全仍任重道远
北京时间本周一,有推特网友发现疑似有黑客通过闪电贷从Harvest Finance中巨额套现,造成损失超过400万美元。
随后Harvest Finance官方发布推特称,黑客发起的此次经济攻击是通过Curve Y池进行的。为了保护用户,其已经将Y池和BTC Curve策略资金存入Vault中,所有稳定币和BTC资金都在Vault中(未在策略中部署),其他池不受影响。
对于这一安全事件,慢雾安全团队复盘了黑客的攻击手段:攻击者通过以太坊匿名转账平台Tornado.cash转入20 ETH作为后续攻击手续费,然后通过 UniswapV2闪电贷借出巨额USDC与USDT。
之后,攻击者先通过Curve将USDT换成USDC,这导致了Curve yUSDC池中的investedUnderlyingBalance参数变小,随后攻击者通过Harvest存入巨额USDC,同时铸出fUSDC,而计算铸出fUSDC数量依赖于Curve yUSDC池的investedUnderlyingBalance参数,这导致铸出了更多的fUSDC。
完成这一步之后,攻击者通过Curve把USDC换回USDT,这时investedUnderlyingBalance参数恢复正常,攻击者只需归还fUSDC即可获得比充值时更多的 USDC。通过重复这一过程,攻击者可以持续获利。
随着DeFi应用的发展,DeFi安全问题正在成为不可忽视的问题。
据《比推》此前报道,今年初,两名黑客利用闪电贷攻击了保证金交易协议bZx,套利金额达到100万美元;随后在今年6月,Balancer流动性池再次遭闪电贷攻击,损失达50万美元。
闪电贷概念最早由Marble协议于2018年提出,旨在通过智能化合约完成的零风险贷款。智能合约平台一次性处理交易,所以一次交易的所有元素是批处理执行的,如果借款人不能偿还贷款,整个交易就会回滚,就像贷款根本没发生一样。
闪电贷不能收取传统意义上的利息,其最初的营销标签是主要用于套利交易。但是很快黑客发现可以用其进行经济攻击,攻击者可以使用闪电贷获得攻击所需要大量的前置资金,贷款也使得这些用于攻击的资金与黑客本身没有直接关联,使得难以追踪黑客的身份。
在Harvest Finance遭攻击这一事件中,黑客正是利用了这两点发起了精心设计的攻击。目前Harvest Finance仍在追查黑客信息,其官方推特称,将公开悬赏10万美金奖励首位成功和攻击者取得联系并帮助返还用户资金的个人或团队。
截止发稿时为止,Harvest Finance的锁定金额价值为5.4亿美元,相比一天前下跌了近50%。
图片来源:pixabay
作者 Liang Che
本文来自比推Bitpush.News,转载需注明出处。
比推快讯
更多 >>- 彭博分析师:灰度现货比特币ETF净流入可能是短期交易的结果
- 前 NFL 巨星Rob Gronkowski同意支付 190 万美元以和解 Voyager Digital 投资者诉讼
- BTC短线跌破63000美元
- Advanced Blockchain AG在瑞士成立加密风投机构ABX Ventures
- Aragon 联合创始人推出自托管钱包 Tuyo
- 美联储Neel Kashkar:今年仍有可能降息
- Solana生态DePin项目Ambient完成200万美元融资,Borderless Capital 领投
- 美国国务院拟悬赏1000万美元以获取LockBit勒索软件组织头目信息
- 分析师:Robinhood第一季度营收有望创近三年新高,加密交易收入同比增幅或达一倍以上
- MoonPay 与 BitPay 合作简化加密货币交易
- Lava Foundation 完成1100万美元融资,未来几个月将推出Lava主网和空投
- Zora网络收购NFT铸造聚合器mint.fun
- 美联储Neel Kashkar:最有可能在较长时间内维持利率不变
- 扩容解决方案提供商ZKM完成500万美元Pre-A融资,OKX Ventures 领投
- 前红杉中国合伙人曹曦旗下投资公司Monolith Management拥有超过2400万美元的贝莱德现货比特币ETF
- 美国9只现货比特币ETF 昨日增持4412枚BTC,价值约2.8亿美元
- 渣打银行:美国财政主导地位和特朗普上台或将使比特币受益
- ETH 反弹突破 3100 美元,24小时涨幅1.13%
- BTC回升至64000美元
- 过去2个月某巨鲸/机构从Flow Traders收到2,261枚BTC,价值约1.49亿美元
- 贝莱德和富达比特币ETF共拥有超42万枚BTC,价值约 270 亿美元
- CBOE向SEC提交富兰克林比特币ETF规则修改申请
- 建仓成本仅为2030美元的巨鲸拟赎回8453枚stETH,价值3017万美元
- 数据:迄今为止DeFi 漏洞已造成近 590 亿美元的损失
- SEC主席: 在发出多个Wells通知后,投资者缺乏必要的加密信息披露
- Tabi Chain将推出第1季空投活动,将分配8亿枚TABI代币
- Ethernity推出以太坊二层网络Ethernity Chain,生态由ERN提供支持
- MetaPhone完成100万美元融资
- 美联储卡什卡利:我对中性利率的估计值从2%适度上调至2.5%
- Botanix Labs获总计1150万美元融资
- QCP Capital:比特币期权交易员押注9月看涨价格将突破10万美元
- 目前丢失状态的BTC估值约为1210亿美元
- Steve Eisman:加密货币与纳斯达克指数有75%相关性
- Gary Gensler:许多加密货币根据法律都是证券
- Scroll生态项目PenPad完成新一轮融资
- 香港首批现货虚拟资产ETF资产管理规模已超24亿港元
- 美国超20%摇摆州选民将加密货币视为关键议题
- Stanley Druckenmiller已在三月大幅减持英伟达股票
- 香港金管局:基于区块链的深港跨境数据验证平台已上线试行
- 新加坡Web3平台Galaxis完成1000万美元融资
- QCP Capital获阿布扎比监管机构原则性批准
- 外媒:韩民主党拟要求FSC重新审查现货比特币ETF以寻求开放此类产品
- 币安CEO:曾有不明身份人士寻求币安支付大量加密货币以解决针对Tigran Gambaryan指控
- 尼日利亚将禁止使用奈拉进行P2P加密交易
- 印尼当局捣毁一家以加密货币支付原材料的合成大麻实验室
比推专栏
更多 >>观点
项目
比推热门文章
- 彭博分析师:灰度现货比特币ETF净流入可能是短期交易的结果
- 前 NFL 巨星Rob Gronkowski同意支付 190 万美元以和解 Voyager Digital 投资者诉讼
- BTC短线跌破63000美元
- Advanced Blockchain AG在瑞士成立加密风投机构ABX Ventures
- Aragon 联合创始人推出自托管钱包 Tuyo
- 美联储Neel Kashkar:今年仍有可能降息
- Solana生态DePin项目Ambient完成200万美元融资,Borderless Capital 领投
- 美国国务院拟悬赏1000万美元以获取LockBit勒索软件组织头目信息
- 分析师:Robinhood第一季度营收有望创近三年新高,加密交易收入同比增幅或达一倍以上
- MoonPay 与 BitPay 合作简化加密货币交易