正文

Harvest遭骇2,400万美金！骇客手握 1,520 颗比特币成市场未爆弹

链新闻2020-10-26 08:19:52

今日（10/26）约中午时，流动性挖矿项目 Harvest Finance 惊传遭骇 2,400 万美金，其代币 FARM 也连带惨崩近 60%，骇客虽归还了 247 万美金的部分资产，但离遭骇金额仍有极大差距，官方在推特上表示对骇客技术感到敬畏，除了喊话返还用户资产外，也提供十万美金给予第一个能联络上骇客的任何团队。

据了解，中午 Harvest Finance 资金池发生大量转移，骇客透过多笔合约交易套现约 2,400 万美金，主要透过 renBTC 套现，并仅将 247 万美金返还给开发人员。此次主要是 Curve y 池遭受攻击，自攻击发生至此，已完成步骤如下：

Curve y 资金全数转移至 vault
暂停稳定币和比特币入金
fUSDC 价位：0.834998
fUSDT 价位：0.844731
TUSD、DAI、WBTC、RENBTC 等其它资产入金不受影响
所有 vault 皆已稳定

由 fUSDC 以及 fUSDT 价位可见，参与流动性挖矿的用户对于这将近 17% 的损失非常不满，更不用说还需承受 FARM 代币逼近 60% 的跌幅。Harvest 官方则表示骇客以 USDT 和 USDC 为形式返还了 2,478,549.94 美元，将会以快照方式按比例归还给受害用户。

骇客套现过程

根据骇客交易纪录可以看出，骇客在此次攻击中共获利 1,100 万 USDT 与 1,300 万 USDC。不过，由于持有稳定币可能会被发行商冻结，因此骇客并没有选择持有稳定币，而是分批将稳定币透过 Uniswap 兑换成 WBTC。下图是 Uniswap 24 小时代币交易量数据。

骇客在获得 WBTC 后，又透过 Curve 将 WBTC 兑换成 renBTC，此地址可看到所有交易流程。经过计算，骇客共兑换了 1,520 颗 renBTC，总价值接近 2,000 万美元。目前，骇客正企图透过 Ren Protocol 将 renBTC 兑换成 BTC，一但骇客顺利兑换，这些比特币恐将成为市场短期内的不定时炸弹。

根据 Harvest 团队的最新说法，其已联系 Ren Protocol 希望他们协助定位骇客的比特币地址，并请求交易所将这些地址列入黑名单，

Update: we are currently working with @renprotocol
to locate the BTC addresses where the funds were transferred via renVM. Once they are verified they will be posted in this thread. All exchanges will be contacted to block these addresses.

— Harvest Finance (@harvest_finance) October 26, 2020

而 Harvest 团队除了试图掌控骇客可能用来出金的比特币地址外，声称该名骇客在加密社群中相当知名，已经掌握非常可观的骇客个资，也祭出十万美金的奖励，将提供给第一个能联络上骇客的任何个人或团队。

In addition to the BTC addresses which hold the funds, there is now a significant amount of personally identifiable information on the attacker, who is well-known in the crypto community.

We are putting out a 100k bounty for the first person or team to reach out to the attacker

— Harvest Finance (@harvest_finance) October 26, 2020

后续影响

值得一提的是，这次的攻击也意外导致 Uniswap 与 Curve 两个平台的交易量飙升，平台 24 小时交易量双双突破 20 亿美元，为两个平台的流动性提供者带来钜额收益。根据估算，Uniswap 流动性提供者在 24 小时内约获利 600 万美元，而 Curve 流动性提供者约获利 100 万美元。