USDC:一文了解Harvest Finance $2400萬被盜事件經過及補救方案_USD價格USDC幣

摘要：為您一文梳理Harvest黑客攻擊事件的經過、影響，以及后續補救措施。

10月26日，黑客利用閃貸從DeFi協議HarvestFinance的金庫中盜走了2400萬美元資金，盡管攻擊者事后歸還了大約250萬美元的資金，但Harvest用戶面臨的損失依舊超過了2000萬美元。對此，Harvest團隊發推稱承認編程漏洞屬于團隊責任，稱將按照快照將退還的部分資金返還給用戶，剩余被盜資金的賠償計劃還在研究中。同時請求黑客退還資金。

攻擊過程

整個攻擊過程持續了7分鐘，以下為慢霧安全團隊對此攻擊過程的簡要分析。

證監會市場二部副主任吳奇超：基于區塊鏈的場外市場基礎設施基本搭建完成:金色財經報道，證監會市場二部副主任吳奇超表示，經過近三年探索與實踐，證監會構建了物理分散、邏輯統一的“中央監管鏈﹣地方業務鏈”雙層鏈架構的區域性股權市場新型金融基礎設施，區塊鏈建設工作進展順利并逐步覆蓋全市場，基于區塊鏈的場外市場基礎設施基本搭建完成，在數據規范治理、穿透式監管、各方資源整合、創新應用服務等方面取得了積極成效，為區域性股權市場高質量發展和數字化轉型打下良好基礎。[2023/8/12 16:21:41]

1.攻擊者通過Tornado.cash轉入20ETH作為后續攻擊手續費

2.攻擊者通過UniswapV2閃電貸借出巨額USDC與USDT

3.攻擊者先通過Curve的exchange_underlying函數將USDT換成USDC，此時CurveyUSDC池中的investedUnderlyingBalance將相對應的變小

美國眾議院共和黨人要求SEC提供SBF被捕時間的細節:2月13日消息，美國眾議院金融服務委員會的兩位高級共和黨成員Patrick McHenry和Bill Huizenga上周五致函美國證券交易委員會 (SEC) 主席Gary Gensler，要求他提供與針對SBF提出的投訴相關的記錄。

共和黨人表示，他們正在調查政府提出指控的時間，他們還要求提供美國證券交易委員會官員與司法部之間的通信，以及其他記錄，“指控的時機和他的被捕引發了人們對SEC程序和與司法部合作的嚴重質疑”。

SBF原定于2022年12月13日在眾議院委員會作證，但在前一天晚上被巴哈馬當局逮捕。巴哈馬官員表示，在司法部告知他們已對SBF提出欺詐指控后，他們逮捕了他們。去年12月12日，SEC執法主管Gurbir Grewal表示，該機構已單獨授權對SBF提起民事訴訟。FTX現任首席執行官John Ray最終在沒有SBF出席的情況下作證。（彭博社）[2023/2/13 12:03:16]

4.隨后攻擊者通過Harvest的deposit將巨額USDC充值進Vault中，充值的同時Harvest的Vault將鑄出fUSDC，而鑄出的數量計算方式如下：

美股三大股指集體高開，道指開漲約160點:8月8日消息，行情顯示，美股三大股指集體高開，道指開漲約160點。道瓊斯指數8月8日（周一）開盤上漲178.97點，漲幅0.55%，報32982.44點；標普500指數8月8日（周一）開盤上漲18.86點，漲幅0.45%，報4164.05點；納斯達克綜合指數8月8日（周一）開盤上漲56.53點，漲幅0.45%，報12714.09點。(金十)[2022/8/8 12:10:25]

amount.mul(totalSupply).div(underlyingBalanceWithInvestment);

計算方式中的underlyingBalanceWithInvestment一部分取的是Curve中的investedUnderlyingBalance值，由于Curve中investedUnderlyingBalance的變化將導致Vault鑄出更多的fUSDC

CryptoPunks系列NFT近24小時交易額漲幅超1000%:金色財經消息，據OpenSea最新數據顯示，CryptoPunks系列NFT近24小時交易額為708.39 ETH，24小時增幅1024.43%。交易額排名達到第一。

此前消息，珠寶品牌蒂芙尼（Tiffany&Co）宣布發行NFT，僅面向CryptoPunks持有者出售。[2022/8/1 2:51:15]

5.之后再通過Curve把USDC換成USDT將失衡的價格拉回正常

6.最后只需要把fUSDC歸還給Vault即可獲得比充值時更多的USDC

7.隨后攻擊者開始重復此過程持續獲利

事件影響

受此次安全事件影響，Harvest平臺代幣FARM幣價暴跌50%，截至發稿達112美金。

同時，由于操作需求，此次安全事件也為數個DeFi平臺帶來了可觀的交易手續費收入。

TheBlock研究總監LarryCermak對此發推稱，這其中約92％的交易量來自USDT/ETH交易對和USDC/ETH交易對。他們為Uniswap的LP產生了576萬美元的費用。

DeFi愛好者jiecut在推特上發表，受本次Harvest安全事件中，黑客在鏈上的操作為部分平臺帶來了比較可觀的收入。其中Uniswap的流動性提供者收入近600萬美元，平臺交易量從1.48億美元暴增到昨日的21.1億美元；CurveLP大約可獲得100萬美元；ETHGas費達10萬美元；RenVM的手續費為2萬美元。

補救措施方案

10月27日，HarvestFinance發表文章公布了針對此次安全事件的補救措施。

HarvestFinance團隊目前正在評估潛在的補救方案，并且將在接下來的版本中提現在新版本中的設計中，我們將在新金庫中加入升級功能以及替代基于時間鎖的投資策略，我們也會在新版本發布之前公布解決方案。

補救方法有以下幾種可能:

1.實施存款承諾與披露機制。廢除在單筆交易中執行存款與取款的功能，以此防止閃電貸攻擊。從用戶的角度來說，這意味著他們的代幣將通過單一一筆交易被轉入Harvest中。用戶也需要在另一筆交易中取出其份額。這會導致用戶體驗發生變化，因為有可能用戶需要支付更高、但仍能接受的Gas費。

2.加強對策略中的現有存款套利檢查配置。當前的閾值為3%，但這不足以使金庫免受攻擊。一個更高的閾值能提高這類攻擊的經濟成本。但是也有可能導致在自然的無常損失影響下存款受限制。周日的事件只持續了7分鐘，也就是說這種措施還沒辦法完全防止攻擊，只能作為其他手段的補充。

3.基礎資產提現。當用戶把錢存入使用共享池的金庫，他們的個人資產就被轉為共享池中資產。如果用戶只是提現基礎資產，他們就可以根據當前的市場情況將其兌換為組合資產。如果市場被操縱，交易也會跟著被操縱，這就能使得攻擊方無法獲取利潤。從一個普通用戶的角度來看，提取yCRV之后，用戶可以通過另一筆交易將其轉換為穩定幣。盡管用戶體驗會改變，但這也可以解決滑點的問題，因此對協議有利。這種方法的缺點是，它會將金庫提現機制和當前正在使用的策略綁定起來：如果將策略切換到一個不使用共享基礎池或使用不同池的其它策略，提現的幣種也會改變。

4.使用預言機來決定資產價格。雖然外界預言機如ChainLink或者Maker可以決定資產價值的大概值，這個值和真實的價格還有一定的聯系。如果DeFi項目內部的底層資產價格和預言機的報價出現差值，金庫就又面臨著投機和閃貸攻擊。所以，這并不是Harvest的理想解決方案。但是，Harvest還是會考慮在系統設計和補救措施中使用預言機。

Tags：USDUSDCSDCUSD幣USD價格USDC幣USDC價格SDC價格SDC幣

以太坊最新價格