Tác giả | Tần Hiểu Phong

Chủ biên | Hác Phương Châu

Sản xuất | Odaily

Chủ biên | Hác Phương Châu

Theo thông báo, cuộc tấn công đã làm thiệt hại tổng cộng 33,8 triệu đô la Mỹ (được báo cáo trước đó là 4 triệu đô la Mỹ), chiếm khoảng 3,2% tổng giá trị bị khóa trong thỏa thuận trước cuộc tấn công; phân phối cho những người gửi tiền bị ảnh hưởng; trong tương lai , Harvest Finance sẽ triển khai cơ chế "tiết lộ cam kết" đối với tiền gửi, giảm các cuộc tấn công cho vay nhanh, sử dụng máy tiên tri để xác định giá tài sản và tăng cấu hình arb tiền gửi (ngưỡng hiện tại được đặt thành 3%).

Sản xuất | Odaily

Sáng nay, giao thức tổng hợp DeFi Harvest Finance đã đưa ra một tuyên bố để đáp trả cuộc tấn công cho vay chớp nhoáng ngày hôm qua.

Vào lúc 10 giờ sáng hôm qua, một người dùng Twitter đã thông báo rằng kẻ tấn công đã dựa vào chi phí (phí xử lý) là 20 ETH để phân xử các khoản lỗ tạm thời trong nhóm giao thức Curve y thông qua các khoản vay nhanh và nhóm Curve.fi Y là nơi Thu hoạch kho bạc đầu tư. Sau đó, kẻ tấn công đã chuyển đổi số tiền thành đồng nhân dân tệ và rút tiền mặt, khiến Harvest mất hàng triệu đô la.Nhiều người tham gia tuyên bố đã mất hơn 15% đến 20% số tiền của họ.

Bị ảnh hưởng bởi điều này, giá của FARM, token quản trị của Harvest Finance, đã giảm mạnh từ 237 đô la Mỹ xuống còn 78 đô la Mỹ, với mức giảm tối đa là gần 70%. Đã giảm mạnh xuống còn 450 triệu đô la Mỹ, mức giảm lớn nhất là 60%.

Tuy nhiên, giao thức Curve không bị ảnh hưởng Giá của mã thông báo quản trị CRV của nó đã tiếp tục tăng trong 24 giờ qua, từng tăng lên 0,44 USDT, với mức tăng tối đa gần 30%.

tiêu đề phụ

(1) Đánh giá sự kiện: Cho vay chớp nhoáng

• Harvest Finance là một công cụ tổng hợp thu nhập DeFi có chức năng chính là cung cấp tính thanh khoản cho các pool DeFi khác để kiếm thu nhập cho các nhà cung cấp thanh khoản của riêng mình. Trước cuộc tấn công, Harvest Finance chủ yếu cung cấp thanh khoản trong nhóm y giao thức Curve.

• Làm thế nào mà kẻ tấn công nhận ra cuộc tấn công và hoàn thành việc kinh doanh chênh lệch giá?

• Trước tiên, hãy để tôi giải thích ngắn gọn logic của cuộc tấn công này, nói một cách đơn giản, có ba bước, đó là "vay - thao túng giá tích cực - thao túng giá ngược":Kẻ tấn công đã cho vay một lượng lớn USDT và USDC thông qua các khoản vay nhanh;

Một lượng lớn USDT được chuyển đổi thành USDC trong nhóm Y, dẫn đến giá USDC tăng lên; vì giá USDC trong nhóm Thu hoạch đề cập đến nhóm Y, nên nó cũng tăng lên; tại thời điểm này, USDC được sử dụng để trao đổi thêm fUSDC trong nhóm Thu hoạch;

Trong nhóm Y, quy trình trên bị đảo ngược và một lượng lớn USDC được chuyển đổi thành USDT, dẫn đến giá USDC giảm; tại thời điểm này

• Giá của USDC trong nhóm Thu hoạch cũng giảm; fUSDC có thể được sử dụng để đổi lấy nhiều USDC hơn trước để hoàn thành kinh doanh chênh lệch giá.

• Tất nhiên, để cho phép các giao dịch trên chuỗi được thực hiện trong một khoảng thời gian rất ngắn, mỗi giao dịch đều được tính phí đầy đủ.

Thông báo của Harvest Finance mô tả toàn bộ chuỗi tấn công:"20 ETH đã được chuyển qua nền tảng chuyển tiền ẩn danh Ethereum Tornado.cash dưới dạng phí tấn công tiếp theo. Địa chỉ ví của kẻ tấn công là 0xf224ab004461540778a914ea397c589b677e27b và một hợp đồng tấn công 0xc6028a9fa486f52efd2b95b949ac630d287ce0af đã được triển khai."Cho vay một lượng lớn USDT (18.308.555,417594) và USDC (50 triệu) thông qua khoản vay flash Uniswap V2 và đưa chúng vào hợp đồng tấn công;(Lưu ý: Các khoản vay chớp nhoáng yêu cầu việc vay và trả nợ phải

• Một giao dịch

• được hoàn thành, nếu không thì tiền cho vay sẽ bị rút và kẻ tấn công

• Chính bằng cách tận dụng khoảng thời gian trống này, giao dịch chênh lệch giá đã hoàn thành; chênh lệch cho vay chớp nhoáng cũng là một phương pháp tương đối phổ biến hiện nay. )

• Hợp đồng chuyển đổi 17222012.640506 USDT thành USDC thông qua thỏa thuận hoán đổi trong nhóm Y của giao thức Curve. Tác động của việc hoán đổi là do sự mất mát tạm thời của các tài sản khác, giá trị của USDC trong nhóm Y đã tăng lên và thu được 17216703,208672 USDC; tại thời điểm này, kẻ tấn công đã thêm tiền gốc của khoản vay nhanh trước đó và kẻ tấn công nắm giữ khoảng 67,21 triệu triệu USDT.

• Kẻ tấn công đã gửi 49.977.468,555526 USDC vào kho tiền USDC của Harvest và đổi 51.456.280,788906 fUSDC với đơn giá fUSDC/USDC=0,97126080216. Đơn giá trước cuộc tấn công là 0,980007 và hiện tại đơn giá là 0,9712, đã giảm khoảng 1% so với tháng trước, không kích hoạt đường màu đỏ 3% do chiến lược chênh lệch thu hoạch đặt ra, vì vậy giao dịch đã được hợp lệ và thành công, và không bị buộc phải phục hồi.

• Kẻ tấn công đã đổi 17239234,653146 USDC còn lại thành 17.230.747,185604 USDT thông qua nhóm y; do sự phục hồi của hiệu ứng mất tạm thời, giá trị của USDC trong nhóm Y đã giảm vào thời điểm này và kẻ tấn công đã thu được 17.230.747,185604 USDT.

• Kẻ tấn công đã rút tiền từ kho USDC của Harvest. Do giá trị của USDC trong nhóm Y giảm vào thời điểm này, nên đơn giá của fUSDC/USDC đã tăng lên 0,98329837664. Kẻ tấn công đã đổi tất cả các cổ phiếu trước đó của fUSDC (khoảng 51,45 triệu) trở lại 50596877.367825 USDC. Hơn nữa, USDC được thanh toán hoàn toàn bằng kho tiền USDC của Harvest và hoàn toàn không tương tác với nhóm Y, vì vậy nó sẽ không ảnh hưởng đến giá USDC trong nhóm Y.

• Sau khi chênh lệch giá như vậy, lợi nhuận ròng của kẻ tấn công (không bao gồm phí cho vay của khoản vay chớp nhoáng) là 619408,812299 USDC. Kẻ tấn công sau đó lặp lại quá trình này nhiều lần trong cùng một giao dịch.

Trong vòng 4 phút, kẻ tấn công đã thực hiện 17 giao dịch tấn công vào kho USDC, sau đó sử dụng một phương pháp tương tự để tấn công kho USDT và hoàn thành 13 giao dịch tấn công trong vòng 3 phút.

Vào lúc 11:01:48 ngày 26 tháng 10 theo giờ Bắc Kinh, kẻ tấn công đã chuyển 13.000.000 USDC và 11.000.000 USDT từ hợp đồng tấn công đến địa chỉ 0x3811765a53c3188c24d412daec3f60faad5f119b.Sau vụ tấn công, nhiều người đã bình luận trên Twitter của Harvest rằng họ đã mất 15%-20% số tiền của mình. Nhiều KOL cũng khuyên người dùng nên rút tiền từ Harvest trước để đảm bảo an toàn cho quỹ.

Theo thống kê của Harvest, tổn thất của người dùng không lạc quan: đơn giá của kho bạc USDC giảm từ 0,980007 xuống 0,834953 và đơn giá của kho bạc USDT giảm từ 0,978874 xuống 0,844812, tương ứng giảm 13,8% và 13,7%;

Tổng giá trị bị mất là khoảng 33,8 triệu đô la, tương đương khoảng 3,2% tổng giá trị bị khóa trong giao thức trước cuộc tấn công.

tiêu đề phụ

(2) Thái độ chính thức: Ngoài việc khắc phục hậu quả, kẻ tấn công có thể trả lại tiền

Sau vụ tai nạn, nhóm Harvest đã đưa ra một tài liệu nêu rõ rằng để bảo vệ người dùng, các biện pháp đã được thực hiện để ngăn chặn tiền gửi vào stablecoin và kho BTC, đồng thời các khoản tiền gửi hiện có sẽ tiếp tục kiếm được FARM.

Theo thông báo sáng nay, Harvest đã rút tất cả tiền từ quỹ chung, bao gồm DAI, USDC, USDT, TUSD cũng như WBTC và renBTC. Các khoản tiền này hiện đang được giữ trong kho tiền và không bị thao túng thị trường thêm nữa. Ngoài ra, DAI, TUSD, WBTC và renBTC không liên quan đến cuộc tấn công này và những người gửi tiền của các kho tiền này không bị ảnh hưởng.

Ngoài ra, liên quan đến bồi thường cho người dùng, Harvest tuyên bố rằng hơn 2,47 triệu đô la Mỹ mà kẻ tấn công trả lại sẽ được phân phối theo tỷ lệ cho những người gửi tiền bị ảnh hưởng thông qua ảnh chụp nhanh và các biện pháp khắc phục khác sẽ được phân tích và bỏ phiếu trong ban quản trị.

Tai nạn này cũng bộc lộ những thiếu sót của cơ chế hệ thống Thu hoạch.

Theo phân tích của nhóm bảo mật SlowMist, lý do chính của cuộc tấn công này là fToken (fUSDC, fUSDT, v.v.) đã sử dụng báo giá từ nhóm Curve y khi đúc tiền, dẫn đến việc kẻ tấn công kiểm soát lượng fToken được đúc bằng cách thao túng giá của nhà tiên tri thông qua trao đổi lớn.

Để báo giá, bước tiếp theo của Harvest là sử dụng lời tiên tri để xác định giá tài sản.

"Mặc dù giá tài sản gần đúng có thể được xác định một cách hiệu quả từ một nhà tiên tri bên ngoài (do Chainlink hoặc Maker cung cấp), nhưng nó được liên kết rất lỏng lẻo với giá thực tế. Nếu giá trị tài sản trong giao thức DeFi cơ bản khác với báo giá của nhà tiên tri, kho tiền sẽ Đối mặt với các cuộc tấn công cho vay chớp nhoáng và chênh lệch giá miễn phí.Đây không phải là giải pháp Thu hoạch, tuy nhiên, chúng tôi sẽ xem xét việc sử dụng các nhà tiên tri trong thiết kế hệ thống và các chiến lược giảm thiểu khả thi.”Hơn nữa, trong tương lai, Harvest Finance sẽ triển khai cơ chế "tiết lộ đệ trình" đối với các khoản tiền gửi để giảm các cuộc tấn công cho vay nhanh và tăng cấu hình arb tiền gửi (ngưỡng hiện tại được đặt thành 3%). Ngoài ra, kế hoạch cải tiến hợp đồng thông minh của Harvest Finance, dự kiến ​​ban đầu vào ngày 27 tháng 10, cũng sẽ bị hoãn lại để có thể đánh giá lại tính bảo mật của nó trong bối cảnh bị tấn công.

Về kẻ tấn công, Harvest Finance đã công bố địa chỉ liên quan đến vụ việc và đưa ra một tài liệu cho biết: “Ngoài địa chỉ BTC giữ số tiền bị đánh cắp, chúng tôi hiện đã thu được một lượng lớn thông tin nhận dạng cá nhân về kẻ tấn công, người khá nổi tiếng trong cộng đồng mã hóa."

Tuy nhiên, Harvest Finance dường như không có ý định truy lùng những kẻ tấn công

• thông tin nhận dạng.

• "Chúng tôi không quan tâm đến việc tiết lộ thông tin cá nhân của kẻ tấn công, chúng tôi tôn trọng công nghệ và sự khéo léo của bạn, miễn là bạn trả lại tiền cho người dùng. Kẻ tấn công đã chứng minh quan điểm của họ. Nếu họ có thể trả lại tiền cho người dùng, điều đó sẽ xảy ra. được đánh giá cao bởi tất cả các thành phần của cộng đồng, trả lại tiền cho người dùng bị ảnh hưởng là trọng tâm."

Chúng tôi đang cung cấp khoản tiền thưởng 100.000 đô la cho cá nhân hoặc nhóm đầu tiên giúp chúng tôi lấy lại tiền của mình.

Nếu hoàn trả được thực hiện trong vòng 36 giờ tới, tiền thưởng là 400.000 đô la. Vui lòng không dox những kẻ tấn công trong quá trình này và chúng tôi thực sự khuyên bạn nên tập trung mọi nỗ lực vào việc đảm bảo tiền của người dùng được trả lại thành công cho những người triển khai.

Bởi vì kẻ tấn công đã kiếm tiền thông qua RenBTC. Tính đến thời điểm báo chí, Harvest Finance đã chính thức thông báo rằng họ đã có được địa chỉ rút tiền RenBTC có liên quan thông qua hợp tác với RenProtocol và thông báo địa chỉ BTC được xuất thông qua RenProtocol. Hiện họ đang tìm kiếm sự trợ giúp từ các nền tảng giao dịch như Binance, Huobi, OKEx và Coinbase.Đóng băng các địa chỉ liên quan.

tiêu đề phụ

• (3) Harvest Finance, liên quan sâu sắc đến dư luận tiêu cực

• Vì thái độ của Harvest Finance đối với những kẻ tấn công tương đối "mập mờ", nên nhiều ý kiến ​​​​cho rằng các quan chức bảo vệ chống trộm cắp và dàn dựng một màn kịch lớn của những tên trộm hét lên "dừng tên trộm lại".

• Crypto KOL @Bitcoin đã đặt câu hỏi:

• Trên thực tế, không có gì có lợi hơn là trực tiếp lấy tiền gốc của người dùng. Tổng giá trị thị trường của FARM là 25 triệu, và 20% số xu của bên dự án. Ngay cả khi tất cả các xu được bán hết, nó cũng sẽ kiếm được 5 triệu. A lãi vài chục triệu. Kết hợp với kế hoạch xử lý của bên dự án đối với vấn đề này, tôi nghĩ thực sự có khả năng cao là bên dự án sẽ ăn cắp của họ, vì vậy họ nhất định sẽ không dùng số tiền kiếm được để lấp hố này;

Tin tặc chấp nhận rủi ro và chỉ lấy trộm hàng chục triệu đô la nhưng không trực tiếp bòn rút hàng trăm triệu đô la, rõ ràng là chúng không muốn dự án chết, điều này phù hợp với lợi ích của đội;

Một số nhà đầu tư đã hỏi trên Twitter rằng liệu họ có thể sử dụng một phần tiền của nhóm để bồi thường cho các nạn nhân hay không, Harvest trả lời rằng số tiền quá lớn và anh ấy không đủ khả năng chi trả. Thực ra ai cũng biết, trả hay không trả và có đủ khả năng trả hay không là hai chuyện khác nhau, đội ngũ này một chút cũng không muốn trả;Chris BlecTheo các nhà đầu tư, các nhà đầu tư trong cộng đồng đã báo cáo về việc giá trị ròng của fusd bị chênh lệch giá liên tục giảm, nhưng nhóm đã làm ngơ trước tình trạng này trong hơn một tháng và cho phép "tin tặc" chênh lệch giá.

CoinTelegraphĐây không phải là lần đầu tiên Harvest Finance vướng vào khủng hoảng dư luận.Điều này cho thấy rủi ro: hơn 1 tỷ đô la tiền bị khóa trong hợp đồng dự án hoàn toàn nằm dưới sự kiểm soát của các nhà phát triển ẩn danh và nhóm phát triển bị nghi ngờ cố tình che giấu sự thật này.

in tiềnTrích dẫn báo cáo kiểm toán của nhóm bảo mật Haechi, báo cáo cho biết,Harvest Finance có khóa quản trị cho phép chủ sở hữu đúc mã thông báo và đánh cắp tiền của người dùng theo ý muốn, có thể do nhà phát triển ẩn danh đứng sau dự án nắm giữ.

in tiền

Pan Zhibiao

Anh ấy nói rằng lý do lớn nhất khiến Harvest không tham gia quản lý tài chính DeFi in tiền là họ đã không vượt qua kiểm soát rủi ro đối với việc in tiền, sử dụng cơ chế chính sách hành động nhanh chóng nhưng lại hy sinh rất nhiều về tính bảo mật.