編者按:本文來自小吒閒談(ID:xiaonazha88),Odaily經授權轉載。
編者按:本文來自
小吒閒談(ID:xiaonazha88)
,Odaily經授權轉載。
編者按:本文來自
小吒閒談(ID:xiaonazha88)
二級標題
,Odaily經授權轉載。
編者按:本文來自
小吒閒談(ID:xiaonazha88)
amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());
二級標題
,Odaily經授權轉載。
昨天的一件大事,是Harvest被黑客攻擊了,還是經濟攻擊的那種,黑客盜走了2400萬美元。
本來用穩定幣參與挖礦,為了圖個穩定收益,這下好了,本金損失了。
二級標題
先是不少Harvest的用戶稱,自己的存入Harvest的fusdt,本金損失了10% 左右,隨後Harvest官網發布被攻擊的信息。
對於Harvest遭受的閃電攻擊,慢霧安全團隊對此事件的簡要分析,如下:
1. 攻擊者通過Tornado.cash 轉入20ETH 作為後續攻擊手續費;
3. 攻擊者先通過Curve 的exchange_underlying 函數將USDT 換成USDC,此時Curve yUSDC 池中的investedUnderlyingBalance 將相對應的變小;
二級標題
4. 隨後攻擊者通過Harvest 的deposit 將巨額USDC 充值進Vault 中,充值的同時Harvest 的Vault 將鑄出fUSDC,而鑄出的數量計算方式如下:
計算方式中的underlyingBalanceWithInvestment 一部分取的是Curve 中的investedUnderlyingBalance 值,由於Curve 中investedUnderlyingBalance 的變化將導致Vault 鑄出更多的fUSDC;
6. 最後只需要把fUSDC 歸還給Vault 即可獲得比充值時更多的USDC。
二級標題
總結:此次攻擊主要是Harvest Finance 的fToken(fUSDC、fUSDT...) 在鑄幣時採用的是Curve y池中的報價(即使用Curve 作為餵價來源),導致攻擊者可以通過巨額兌換操控預言機的價格來控制Harvest Finance 中fToken 的鑄幣數量,從而使攻擊者有利可圖。
工具:閃電貸;
正文
正文
正文
正文
正文
正文
正文
正文
二級標題
