Harvest遭受闪电贷攻击,黑客通过Curve盗走2300万美元
Harvest是一种跨链货币市场,能够自动种植收益最高的资产,并将这些资产分配给参与者。Harvest的策略灵活且面向未来。 过去和将来的大部分资产都可以通过Harvest进行种植。除了收获收益外,该协议还鼓励用户进行存款,Harvest用户将获得FARM代币作为奖励。
DeFi协议Harvest.Finance今日午间发布消息称,黑客正在通过Curve y池进行经济攻击,使Curve中稳定币的价格超出了对应比例,并通过Harvest协议存入和提取大量资产。
为了保护用户资金,Harvest已将y池和btc curve策略资金提出并转移至Curve金库。具体来说:为了保护用户,已将100%的稳定币和BTC curve策略资金从策略中撤出到金库。下一步:为了保护用户,Harvest正在阻止通过该协议向Curve稳定币和BTC金库中存款。
黑客从Curve转移USDT之后,其中一部分通过Uniswap将其转换为renBTC,向比特币区块链迁移。
首次攻击影响,Uniswap平台今日交易量暴涨超过1200%,24小时交易量达到20.08亿美元,其中ETH相关交易规模占到20.06亿美元,24小时涨幅1514%。
对于这次攻击,Harvest解释说,像其他套利经济攻击一样,这是一次大型闪电贷攻击,黑客通过操纵一个货币乐高(Curve y池)的价格以多次消耗另一个货币乐高(fUSDT,fUSDC)的资产。
攻击者然后将资金转换为renBTC并以BTC的形式离场。
与其他Flashloan攻击一样,攻击者没有给项目方留下反应时间,而是在7分钟内完成了端到端攻击。攻击者钱包最后通过renBTC提走资金( https://app.zerion.io/0x3811765a53c3188c24d412daec3f60faad5f119b/history )。
不过,攻击者最后以USDT和USDC的形式向部署者退回了2,478,549.94美元资金。这些资金之后将通过攻击发生之前的快照按比例分配给受影响的存款者。
根据分析,此次攻击中,大约有2300万美金的USDT从Curve流出。Harvest Finance表示还在调查中,安全机构也正在参与调查。由于各大平台的DeFi理财项目很多在Curve上运行,目前尚不确定有多少投资者遭受损失。