Lưu ý của biên tập viên: Bài viết này đến từTrò chuyện với Xiaozha (ID: xiaonazha88), được in lại bởi Odaily với sự cho phép.

Lưu ý của biên tập viên: Bài viết này đến từ

Trò chuyện với Xiaozha (ID: xiaonazha88)

, được in lại bởi Odaily với sự cho phép.

Một sự kiện lớn ngày hôm qua là Harvest đã bị tấn công, hay còn gọi là tấn công kinh tế, và tin tặc đã đánh cắp 24 triệu USD.

Ban đầu tôi sử dụng stablecoin để tham gia khai thác nhằm tìm kiếm thu nhập ổn định, nhưng giờ thì không sao cả và tiền gốc bị mất.

tiêu đề phụ

1. Quá trình Thu hoạch bị tấn công

Đầu tiên, nhiều người dùng Harvest nói rằng tiền gửi của họ vào Harvest đã mất khoảng 10% tiền gốc, và sau đó trang web chính thức của Harvest đã công bố thông tin về vụ tấn công.

Liên quan đến cuộc tấn công chớp nhoáng vào Harvest, phân tích ngắn gọn của Nhóm bảo mật SlowMist về vụ việc như sau:

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

1. Kẻ tấn công chuyển 20ETH qua Tornado.cash dưới dạng phí tấn công tiếp theo;

2. Kẻ tấn công đã cho vay một lượng lớn USDC và USDT thông qua khoản vay flash UniswapV2;

3. Trước tiên, kẻ tấn công sử dụng chức năng exchange_underlying của Curve để đổi USDT lấy USDC. Tại thời điểm này, Số dư đã đầu tư trong nhóm Curve yUSDC sẽ tương ứng nhỏ hơn;

4. Sau đó, kẻ tấn công nạp một lượng USDC khổng lồ vào Vault thông qua khoản tiền gửi Thu hoạch. Đồng thời nạp tiền, Vault of Harvest sẽ đúc fUSDC và số tiền đúc được tính như sau:

Phần Số dư cơ bảnWithInvestment của phương pháp tính toán lấy giá trị của Số dư cơ sở được đầu tư trong Đường cong, bởi vì sự thay đổi của Số dư cơ sở được đầu tư trong Đường cong sẽ khiến Vault đúc thêm fUSDC;

6. Cuối cùng, bạn chỉ cần trả lại fUSDC vào Vault để nhận được nhiều USDC hơn so với khi bạn nạp tiền.

7. Sau đó, kẻ tấn công bắt đầu lặp lại quy trình để tiếp tục kiếm lợi nhuận.

Tóm tắt: Cuộc tấn công này chủ yếu là do fToken (fUSDC, fUSDT...) của Harvest Finance sử dụng báo giá trong nhóm Curve y (nghĩa là sử dụng Curve làm nguồn cung cấp giá) khi đúc tiền, để kẻ tấn công có thể thao túng nhà tiên tri thông qua một lượng trao đổi khổng lồ Giá của máy được sử dụng để kiểm soát lượng đúc fToken trong Harvest Finance, do đó giúp kẻ tấn công có lãi.

Đơn giản hóa quá trình hack Thu hoạch: đầu tiên sử dụng USDC để tăng giá USDT -> gửi fUSD -> sau đó đổi USDT trở lại USDC để cân bằng phí bảo hiểm -> fUSD trở lại USDT, quá trình trên được lặp lại và chênh lệch giá.

tiêu đề phụ

2. Kinh doanh chênh lệch giá DeFi có thể được mô tả là một khoản lợi nhuận khổng lồ

Tin tặc tấn công Thu hoạch thông qua các khoản vay chớp nhoáng, tiền lương và lợi ích là gì?

Chi phí: 20 ETH;

Công cụ: flash loan;

20 ETH đã được sử dụng để đấu tranh giành 24 triệu đô la Mỹ, sau đó hoạt động rửa tiền ẩn danh và các hoạt động khác được thực hiện thông qua kênh renbtc.

chữ

chữ

Chó sói là loài ăn xác thối tự nhiên. Sau đó, khoản vay chớp nhoáng này sẽ là công cụ dọn dẹp giao thức DeFi, dọn dẹp các vấn đề trong giao thức một cách chuyên nghiệp.

Ngoài ra còn có một vấn đề được nêu bật ở đây. Ngưỡng cho các dự án DeFi thực sự rất cao. Khi ICO, sách trắng có thể được đưa ra ngoài để tài trợ và phát hành tiền xu, v.v., sau đó rẽ nhánh mã, sửa đổi mã và khởi chạy mạng chính.

Tất nhiên, DeFi cũng có thể được chia nhỏ, chẳng hạn như kem, khai thác thực phẩm khác nhau, v.v., dựa trên mô hình trưởng thành, với một chút sửa đổi. Nhưng nếu bạn muốn đổi mới một chút, hoặc câu chuyện nghe có vẻ đầy đủ hơn, bạn không thể làm được nếu không có sức mạnh kỹ thuật và sức mạnh thiết kế kinh tế.

tiêu đề phụ