编者按:本文来自小吒闲谈,Odaily星球日报经授权转载。昨天的一件大事,是Harvest被黑客攻击了,还是经济攻击的那种,黑客盗走了2400万美元。
本来用稳定币参与挖矿,为了图个稳定收益,这下好了,本金损失了。一、Harvest被攻击过程
先是不少Harvest的用户称,自己的存入Harvest的fusdt,本金损失了10%左右,随后Harvest官网发布被攻击的信息。
“长三角文化数字资产交易平台”挂摘牌交易市场将正式开放交易:金色财经报道,从浙文互联获悉,由浙江文交所牵头,联合上海、安徽等地文交所及各生态合作单位共同打造的“长三角文化数字资产交易平台”-挂摘牌交易市场即将于8月17日正式开放,8月18日开始交易。平台采用以数文链为支撑的在链实时交易模式,随着数文链与皖文创链、国版链以及蚂蚁链跨链互通,平台将为更多用户提供文化数字资产交易服务。[2023/8/17 18:05:11]
对于Harvest遭受的闪电攻击,慢雾安全团队对此事件的简要分析,如下:1.攻击者通过Tornado.cash转入20ETH作为后续攻击手续费;2.攻击者通过UniswapV2闪电贷借出巨额USDC与USDT;3.攻击者先通过Curve的exchange_underlying函数将USDT换成USDC,此时CurveyUSDC池中的investedUnderlyingBalance将相对应的变小;4.随后攻击者通过Harvest的deposit将巨额USDC充值进Vault中,充值的同时Harvest的Vault将铸出fUSDC,而铸出的数量计算方式如下:amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());计算方式中的underlyingBalanceWithInvestment一部分取的是Curve中的investedUnderlyingBalance值,由于Curve中investedUnderlyingBalance的变化将导致Vault铸出更多的fUSDC;5.之后再通过Curve把USDC换成USDT将失衡的价格拉回正常;6.最后只需要把fUSDC归还给Vault即可获得比充值时更多的USDC。7.随后攻击者开始重复此过程持续获利。总结:此次攻击主要是HarvestFinance的fToken(fUSDC、fUSDT...)在铸币时采用的是Curvey池中的报价(即使用Curve作为喂价来源),导致攻击者可以通过巨额兑换操控预言机的价格来控制HarvestFinance中fToken的铸币数量,从而使攻击者有利可图。把黑客攻击Harvest过程再简化一下:先用USDC把USDT的价格拉高->存款得fUSD->再把USDT换回USDC平衡溢价->fUSD换回USDT,上述流程反复循环,反复套利。二、DeFi套利,可谓一本万利
Chainalysis:大多数公共机构认为调查数字资产相关犯罪的能力不足:金色财经报道,区块链数据分析服务提供商Chainalysis在其Chainalysis 2022年加密货币调查状况调查?报告中表示,参与调查数字资产犯罪的公共机构如果不跟上数字资产行业的步伐,可能会面临当前和未来的巨大问题。随着数字资产行业的快速发展,犯罪分子可能会扩大他们、执法部门和监管机构之间的知识差距,而这些机构并没有提高他们的调查能力。 .如果机构现在不精通加密货币调查,他们的知识差距可能会加剧,导致他们进一步落后于经常利用加密货币的犯罪分子。
该公司谈到了一项调查结果,该调查结果显示,来自美国和加拿大 183 个公共机构的约 300 名受访者中有 74%认为他们的机构“没有能力调查与加密货币相关的犯罪。
此外,绝大多数受访者还表示,尽管与数字资产相关的调查与他们相关,但他们认为他们的机构没有做出足够的努力来纠正这种情况。[2022/8/1 2:50:20]
黑客通过闪电贷攻击Harvest,付出和收益如何呢?成本:20个ETH;工具:闪电贷;收益:2400万美元。用20个ETH搏了2400万美元,然后通过renbtc通道进行匿名洗币等操作。当然这个攻击过程中,收益的不止黑客,还有uniswap、Curve、ETH矿工、RenVM,各自收益如下表。
惠誉:美国银行财团推出稳定币标志着数字资产需求的增长:2月10日消息,惠誉表示,美国银行财团推出稳定币标志着数字资产需求的增长,由美国银行和金融科技集团组成的财团发行和使用稳定币在短期内对成员机构的信用影响是中性的。(金十)[2022/2/10 9:41:23]
这么多协议受益,而受损的是fusdt持有者,也就是Harvest中用稳定币挖矿的用户。攻击过程中,uniswap的成交量一下达到19.7亿美金,这个量有点吓人。
欧盟和美国金融监管机构就稳定币和数字资产合作进行讨论:金色财经报道,在3月29日的公告中,美国财政部表示,上周举行的虚拟论坛包括了欧盟和美国金融机构的金融监管机构,包括中央银行、证券监管机构和银行当局。尽管长期以来气候变化和流行病一直是全球合作的关键领域,但这些机构似乎也已将数字资产监管提升为全球优先事项。财政部写道:“参与者就包括数字资产、稳定币和中央银行数字货币在内的新型数字支付形式的最新发展和监管建议交换了意见。”[2021/3/30 19:27:57]
这个成交量放在过去是太可能发生的。那么问题来了,让黑客用闪电贷攻击,导致用户资产受损失。这个闪电贷不是个好东西?闪电贷,设计的初衷就是给用户在各协议之间套利,一丢丢钱就可以套利了。DeFi各协议之间可以相互组合,而这过程会积累一些风险,当用户发现协议之间的套利空间,就会发起攻击。这样反逼DeFi项目方做好安全,不仅是代码层面上的安全,还有协议经济上的安全。狼,是自然的清道夫。那么这个闪电贷,应该是DeFi协议的清道夫,专业清理协议中存在的问题。从这里也突出一个问题,DeFi项目的门槛真是高,爱西欧的时候,一个白皮书就可以出去忽悠融资发币等,然后fork一个代码,修修改改,主网上线等。当然DeFi里面也是可以Fork一个,比如cream、各类食物挖矿等等,成熟模型之上,稍加修改一下。但是想要要有点创新,或者故事听起饱满一些,没有技术实力和经济设计实力,都搞不了。三、Harvest遭受损失,CRV却涨了
Harvest被攻击,用户承受损失,而CRV价格却暴涨了。
这不知道是有人做盘,还是对Crv是真利好。Harvest遭受攻击后,停止了在CRV中的稳定币挖矿,对于CRV来说,少了一个无情挖提卖的机池,或许是这个刺激吧。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。