EST:DeFi項目Harvest Finance造成用戶損失超2000萬美元，知名KOL提醒用戶撤離_arv幣是什么幣

10月26日消息，鎖定資金量超10億美元的DeFi項目HarvestFinance被曝遭黑客攻擊，據稱已造成大約2400萬美元的損失，很多參與者自稱損失了15%以上的資金，受此消息影響，Harvest的治理代幣FARM一度暴跌70%以上。

而Harvest項目方則發布推文解釋稱：

“這次攻擊和其他套利經濟攻擊一樣，緣于一筆大額的閃電貸，攻擊者多次操縱curvey池以提取fUSDT和fUSDC資金，隨后將資金轉換成renBTC，并退出為BTC。”此外，Harvest項目方還表示：

“我們正致力于減輕對穩定幣和BTC池的攻擊，一旦有更多細節可用，我們將會進行實時更新。”而據DeFi之道提供的最新消息顯示，黑客以USDT和USDC的形式歸還了大約247.8萬美元的資金，約占到被盜資金量的10%，而Harvest項目方則表示隨后會將這些資金歸還給受影響的用戶。?

DeFi社區炸鍋，知名KOL提醒用戶應撤離Harvest

目前，關于這次Harvest攻擊的信息依舊非常有限，而DeFi社區的知名參與者則發出提醒稱，Harvest用戶應盡快將其資金從該項目的合約中提取出來。

7月29日以來Aave存款總量下降6.4億美元，降幅超12%:8月1日消息，歐科云鏈OKLink多鏈瀏覽器數據顯示，Aave存款總量從7月29日的52.5億美元，下降至46.1億美元，降幅達12.1%。[2023/8/1 16:10:37]

截至發稿時，Harvest合約鎖定的資金已驟降至5.9億美元，較24小時之前下滑42.41%。

而在這次攻擊發生的前一天，DeFi觀察者ChrisBlec則揭示了Harvest項目所存在的巨大風險，其提到稱，Harvest項目合約所鎖定的10多億美元資金，完全受匿名開發者的控制，并且開發團隊存在刻意隱瞞這一事實的嫌疑。

以下是譯文內容：

DeFi的發展太快，要跟上它的節奏實在太難，即使是我也是如此。

但這并不意味著我們無法保證安全，并且我們不必成為開發者就可以做到這一點。

在這篇文章中，我將分享自己發現HarvestFinance存在高危管理密鑰風險的步驟，而這一事實危及到了用戶的資金。

就在昨天，當我查看DeFiPulse，并看到排行榜中排名第四的項目HarvestFinance時，其鎖定的資金量已超過了10億美元，但我發現自己對這個項目并不了解。

趙長鵬：幣安所有附屬平臺上的資金也是安全的:金色財經報道，幣安首席執行官趙長鵬在社交媒體發文稱，盡管幣安堅持認為美國證券交易委員會發布Emergency Relief的請求是完全沒有根據的，但很高興圍繞這一請求的分歧并以雙方都能接受的條款得到解決。此外，趙長鵬進一步強調稱，用戶資金在幣安所有附屬平臺上一直是安全的，而且會永遠安全。[2023/6/18 21:45:07]

我第一次聽說HarvestFinance，是他們為許多GitcoinGrants參與者捐款50,000美元，當時其宣布這一消息時，我確實有關注到它。

兩天前，我突然注意到一條關于Harvest鎖定資金量突破10億美元的推文。

看到這一點，我記下了要檢查的內容。Harvest是目前市場上眾多的收益農耕項目之一，我還沒有時間去研究每一個，但是突破10億美元的項目，無疑會讓我產生興趣。

我的第一站就是看他們的網站，找到它并不難，他們的官方Twitter介紹里就有鏈接。

這是一個典型的收益農耕用戶界面，在點擊了一段時間后，我發現他們接受了多個代幣存款，包括UniswapLP代幣，我開始想知道，這個項目的去中心化程度到底有多高。

安全團隊：2月份共記價值1620萬美元的NFT被盜:金色財經報道，據PeckShield監測，今年2月份共記價值1620萬美元的NFT被盜，環比增長268%。其中，近半數被盜NFT在82分鐘內被賣出。約47%的被盜NFT在OpenSea上出售，約21.7%在Blur上出售。[2023/3/2 12:37:25]

這一部分實際上非常重要，因為很少有DeFi用戶會這么干。任何時候，當一個智能合約接受存款時，你首先要問的問題是“這個產品的去中心化程度如何？資金是如何被持有的？有管理密鑰嗎？如果有的話，它能夠做什么？”

一旦這些問題出現在你的腦海中，那你就需要在存款之前得到答案。如果你在沒有答案的情況下就存款，那你就是在賭博。

我開始點擊他們的FAQ和Wiki標簽，直到找到一些線索。首先，我看到Harvest的“技術資料”里提到了時間鎖。

如你所見，在“技術資料”中沒有提及關于管理密鑰的其他內容。

什么是時間鎖？它是一種智能合約，它為以太坊管理密鑰調用的任何交易添加延遲，從而讓用戶有時間檢查交易，并及時取出自己的資金。

NFT安全公司Tokenproof完成500萬美元融資，Penny Jar領投:8月30日消息，NFT安全公司Tokenproof完成500萬美元融資，Penny Jar領投，參投方包括Corazon Capital、6th Man Ventures、Canonical Crypto，個人投資者包括Sebastien Borget、Mark Cuban、Keith Grossman和Patricio Worthalter。Tokenproof通過身份驗證機制證明用戶持有某個NFT，從而通過熱錢包獲得某些NFT相關權益，但NFT被存儲在冷錢包中。（CoinDesk）[2022/8/30 12:58:12]

也就是說，如果沒有某種密鑰，那就根本用不到時間鎖。

所以當我看到時間鎖這個詞，而技術資料中沒有提及管理密鑰或它能夠做什么時，我知道我必須更深入地調查這個項目。

在他們的Wiki頁面上，我發現了一個名為“HarvestSecurity”的鏈接。通常，當你在DeFi產品網站上看到一個叫做“Security”的頁面時，你一定會找到一些審計報告。而我確實也看到了。

上海數據交易所成交首筆數字人民幣支付交易:7月5日消息，記者7月5日從上海數據交易所獲悉，上海銀行股份有限公司與上海大智慧財匯數據科技有限公司近日在上海數據交易所交易系統中成交首筆使用數字人民幣支付的數據產品交易。（上證報）[2022/7/5 1:51:33]

HarvestFinance在其網站上提供了兩份審計報告，這兩項審計都是在9月份完成的，分別由知名的安全公司Peckshield和HaechiLabs所提供。

首先，我點擊Peckshield審計的鏈接，然后我看到的是這個：

顯然，這不是什么好事。

我只花了3秒鐘就注意到URL是不正確的，以及“https://github.com…”之前的所有內容都應被刪除。

在繼續之前，讓我問你，作為一名非開發人員，你會在這里停下來放棄嗎？還是說，你會花點時間查看URL并嘗試找出問題所在？

我不知道這是否是Harvest團隊無意犯的錯誤，還是其故意阻止他人查看審計報告的一種方式。但是，我確實知道，用戶必須要勤奮地尋找他們需要的信息，以作出明智的決定-即使這些信息被隱藏了起來！

所以，我修改了URL，并得到了Peckshield的實際審計報告：https://github.com/harvest-finance/harvest/blob/master/audits/PeckShield-Harvest.pdf

看起來很嚇人，不是嗎？

好吧，不一定如此，你無需成為開發者即可查看審計報告，并獲得一些非常重要的，有關智能合約系統的線索。

打開審計報告時，我要做的第一件事，就是搜索提及管理密鑰或“治理”的內容。

這很容易就能找到。

讓我們看第42頁的內容，如你所見，Peckshield使用了通俗易懂的英語，其向讀者表明，Harvest項目的治理職責高度中心化且非常不穩定。

“當前由一個EOA賬戶所控制，這引起了社區的必要關注。”簡單說，Harvest項目的資金，完全是由一個單一的以太坊賬戶所控制的，它并不涉及什么DAO，也沒有多重簽名。

在審核結果中，Peckshield給出了一個表，其中所有的資金都是由同一個地址所控制

閱讀審計報告時，請務必記住，項目方通常要為審計公司支付費用，而當你在審計報告中看到類似這種表時，實際上代表審計公司在通知你，該項目實際存在一些非常真實的危險，審計公司希望在不完全激怒客戶的情況下盡可能地誠實。接下來，查看HaechiLabs的審計報告：https://github.com/harvest-finance/harvest/blob/master/audits/Haechi-Harvest.pdf

我再次掃描了目錄，然后看到了這個重要的提醒：

讓我們再仔細看看。

這意味著，這些智能合約中所持有的10億美元資金，開發者可隨時將它們轉移走。

管理密鑰對于DeFi來說并不是什么新現象，而且HarvestFinance并不是唯一使用它的項目。但是，對于一個掌握10億美金巨額資金的項目而言，管理密鑰的存在是令人感到害怕的。

因此，我問自己的下一個問題是：

“是誰擁有這個功能非常強大的管理密鑰？讓我們和那個人談談。”我回到了HarvestFinance網站和他們的Wiki頁面，然后找到了“常見問題”部分內容，這給了我答案。

不，上帝，請不要告訴我，這個掌握著11億美元資金管理密鑰的人竟然是一個匿名開發者。

上帝：對不起，這是事實。

該死的。

這個事實讓我感到震驚，10億美元由一個管理密鑰控制已經夠糟糕了，更糟糕的是，掌握這個密鑰的人是在未知國家/地區的陌生人，這一事實將其推向了另一個新高度。

所以，我要大聲告訴大家：

如你所見，我確實了解到，由于審計報告已經完成，Harvest匿名開發者添加了一個前面所提到的時間鎖，這是一個只有12個小時的時間鎖，它不足以為用戶提供提供安全保護。

在找到此信息之后，合理的下一步是嘗試從HarvestFinance社區和開發者那獲取更多的信息，但情況不是很好，我因為詢問誰持有管理密鑰而遭到語言攻擊。HarvestFinance團隊禁止我加入他們的Discord社區，并在Twitter上將我屏蔽。

現在，我不僅知道HarvestFinance所持有的資金處于非常危險和不安全的境地，而且我也知道他們的匿名開發者對質疑聲持抵制態度，這些對于投資者來說都是不利因素。

這種情況將來會改變嗎？如果有一天該項目的匿名開發者充分地分散了當前的管理密鑰，那么它可能再值得一看。

但在那之前呢？這是一個不可接觸的DeFi產品。

將以上這些步驟應用到你感興趣的每一個DeFi產品上，你將能夠作為一個非開發人員而生存下來，祝你好運！

Tags：VESTVESESTARVVestXCoinLeve Investcelestial幣還有希望嗎arv幣是什么幣

火幣APP