用20个ETH撬动3000万美元的收益——Harvest Attack全面回顾

根据公告，此次攻击总损失为3380万美元，约占攻击前协议锁定总价值的3.2%。

文字 | 秦晓峰运营 | 盖瑶编辑 | 郝方舟

出品 | Odaily星球日报（ID：o-daily）

今天上午，DeFi 聚合协议 Harvest Finance 发表声明回应昨天的闪电贷攻击事件。

根据公告，此次攻击共损失3380万美元（此前报道为400万美元），约占攻击前协议锁定总价值的3.2%； 分发给受影响的储户； 未来，嘉实金融将对存款实行“承诺-披露”机制，减少闪电贷攻击，使用预言机确定资产价格，增加存款套利配置（目前门槛设置为3%）。

昨日上午10点，有推特用户爆料称，攻击者依靠20 ETH的成本（手续费），通过闪贷套利Curve协议y池中的无常损失，而Curve.fi Y池正是Harvest所在国库投资。 攻击者随后将资金转换为 renBTC 并套现，Harvest 也因此损失了数百万美元。 许多参与者声称损失了超过 15% 到 20% 的资金。

受此影响，嘉实金融的治理代币FARM价格从237美元暴跌至78美元，最高跌幅近70%。 截至今日发稿，FARM价格已涨至110美元左右； 已暴跌至4.5亿美元，最大跌幅达60%。

但是，Curve 协议并未受到影响。 其治理代币CRV价格近24小时持续上涨，一度上涨至0.44USDT，最高涨幅近30%。

事件回顾：闪电贷套利

Harvest Finance 是一个 DeFi 收益聚合器，其主要功能是为其他 DeFi 池提供流动性，为自己的流动性提供者赚取收益。 在攻击发生之前，Harvest Finance 主要在 Curve 协议 y 池中提供流动性。

攻击者是如何实现攻击并完成套利的？

首先简单说明一下此次攻击的逻辑。 简单来说，就是“借入-正向操纵价格-反向操纵价格”三个步骤：

当然，为了让链上交易能够在极短的时间内进行，每笔交易都是全额收费的。

Harvest Finance 公告描述了完整的攻击链：

（注：闪贷要求借还款“一次交易”完成，否则贷款资金将被抽走。攻击者利用这段空白时间完成套利交易；闪贷套利也是比较常见的一种目前输入。方式。）

袭击发生后，许多人在 Harvest Twitter 上评论说他们损失了 15%-20% 的资金。 不少KOL也建议用户先从Harvest提现，以保证资金安全。

据Harvest统计，用户亏损情况不容乐观：USDC国库单价从0.980007跌至0.834953，USDT国库单价从0.978874跌至0.844812，跌幅分别为13.8%和13.7%； 发生前锁定在协议中的总价值的 3.2%。

官方态度：除了修复，攻击者可以还钱

事故发生后，Harvest团队发文称请人帮助提现usdt手续费，为保护用户，已采取措施防止充值至稳定币和BTC金库，现有充值将继续赚取FARM。

根据今天上午的公告，Harvest 已从共享池中提取所有资金，包括 DAI、USDC、USDT、TUSD 以及 WBTC 和 renBTC。 这些资金目前存放在金库中，不会受到进一步的市场操纵。 此外，DAI、TUSD、WBTC、renBTC均未参与本次攻击，这些金库的储户均未受到影响。

此外，关于用户补偿，Harvest表示，攻击者退回的247万多美元将通过快照按比例分配给受影响的存款人，其他补救措施将在治理中进行分析和投票。

这次事故也暴露了Harvest系统机制的短板。

据慢雾安全团队分析请人帮助提现usdt手续费，此次攻击的主要原因是fToken（fUSDC、fUSDT等）在铸币时使用了Curve y池中的报价，导致攻击者通过操纵fToken来控制fToken的铸币量。甲骨文的价格通过巨大的交易所。

对于报价，Harvest 的下一步是使用预言机来确定资产价格。

“虽然可以从外部预言机（由 Chainlink 或 Maker 提供）有效地确定大致的资产价格，但它与实际价格的联系非常松散。 如果底层 DeFi 协议内的资产价值与预言机报价不同，金库将面临自由套利和闪贷攻击。 这不是 Harvest 解决方案，但是，我们将考虑在系统设计和可能的缓解策略中使用预言机。”

而且，未来嘉实金融将对存款实行“提交-披露”机制，减少闪贷攻击，增加存款套利配置（目前门槛设置为3%）。 此外，原定于10月27日发布的Harvest Finance智能合约改进计划也将推迟，以便在攻击背景下重新评估其安全性。

对于攻击者，嘉实财经公布了涉案地址，并发文称，“除了持有被盗资金的BTC地址外，我们目前已经获得了大量攻击者的个人身份信息，攻击者相当在加密界广为人知。”

不过，嘉实财经似乎并没有追查攻击者身份的打算。

“我们没有兴趣暴露攻击者的个人信息，我们尊重你的技术和聪明才智，只要你把钱还给用户。攻击者已经证明了他们的观点。如果他们能把钱还给用户，那将是非常高的受到社会各界的赞赏，将资金返还给受影响的用户是重点。”

嘉实财经在公告中表示：

因为攻击者一直在通过 RenBTC 进行货币化。 截至发稿，嘉实财经已正式宣布通过与RenProtocol的合作获得了相关的RenBTC提币地址，并公布了通过RenProtocol导出的BTC地址。 目前正在向币安、火币、OKEx、Coinbase等交易平台寻求帮助。 冻结相关地址。

嘉实金融深陷负面舆论

由于嘉实财经对攻击者的态度比较“暧昧”，不少声音认为是官方防盗，上演了一出贼喊“拦贼”的大戏。

加密 KOL @Bitcoin 质疑：

这不是嘉实金融第一次陷入舆论危机。

就在套利攻击发生前两天，DeFi 观察家 Chris Blec 揭露了风险：项目合约中锁定的超过 10 亿美元的资金完全在匿名开发者的控制之下，开发团队涉嫌故意隐瞒这一事实。

CoinTelegraph 援引安全团队 Haechi 的审计报告称，Harvest Finance 拥有一个管理密钥，允许持有者随意铸造代币并窃取用户资金，而该管理密钥可能由项目背后的匿名开发人员持有。

币印潘志彪表示，Harvest没有进入币印DeFi理财的最大原因是他们没有通过币印的风控。 资金使用效率，采用速效策略机制，但安全性大大牺牲。

针对外界质疑，嘉实财经在合约中引入了12小时时间锁定功能，但仍未能打消用户疑虑。

此次攻击后，Harvest Finance 链上的锁仓量从 11.1 亿美元暴跌至 4.5 亿美元，最大跌幅达 60%。

未来，Odaily星球日报将持续关注嘉实财经如何发展。

原创文章、转载/内容合作/寻求报道，请联系report@odaily.com； 未经授权严禁转载，非法转载将受到法律制裁。

往期精彩不容错过

优质推送带来深刻思考

给Odaily一个star，先让你与众不同