Harvest被攻擊，20個ETH套利2400萬美元，CRV卻漲了_VEST:PUSD幣

編者按：本文來自小吒閑談，Odaily星球日報經授權轉載。昨天的一件大事，是Harvest被黑客攻擊了，還是經濟攻擊的那種，黑客盜走了2400萬美元。

本來用穩定幣參與挖礦，為了圖個穩定收益，這下好了，本金損失了。一、Harvest被攻擊過程

先是不少Harvest的用戶稱，自己的存入Harvest的fusdt，本金損失了10%左右，隨后Harvest官網發布被攻擊的信息。

Shardeum 上線 SHM 代幣經濟學儀表板，用戶可以模擬運行主網節點獎勵:4月20日消息，WazirX 聯合創始人兼 CEO Nischal Shetty 創立的 Layer1 區塊鏈 Shardeum 上線 SHM 代幣經濟學儀表板，用戶現在可以通過更改交易費用、節點獎勵、APY 等參數來模擬運行主網節點獎勵。[2023/4/20 14:15:06]

對于Harvest遭受的閃電攻擊，慢霧安全團隊對此事件的簡要分析，如下：1.攻擊者通過Tornado.cash轉入20ETH作為后續攻擊手續費；2.攻擊者通過UniswapV2閃電貸借出巨額USDC與USDT；3.攻擊者先通過Curve的exchange_underlying函數將USDT換成USDC，此時CurveyUSDC池中的investedUnderlyingBalance將相對應的變小；4.隨后攻擊者通過Harvest的deposit將巨額USDC充值進Vault中，充值的同時Harvest的Vault將鑄出fUSDC，而鑄出的數量計算方式如下：amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());計算方式中的underlyingBalanceWithInvestment一部分取的是Curve中的investedUnderlyingBalance值，由于Curve中investedUnderlyingBalance的變化將導致Vault鑄出更多的fUSDC；5.之后再通過Curve把USDC換成USDT將失衡的價格拉回正常；6.最后只需要把fUSDC歸還給Vault即可獲得比充值時更多的USDC。7.隨后攻擊者開始重復此過程持續獲利。總結：此次攻擊主要是HarvestFinance的fToken(fUSDC、fUSDT...)在鑄幣時采用的是Curvey池中的報價(即使用Curve作為喂價來源)，導致攻擊者可以通過巨額兌換操控預言機的價格來控制HarvestFinance中fToken的鑄幣數量，從而使攻擊者有利可圖。把黑客攻擊Harvest過程再簡化一下：先用USDC把USDT的價格拉高->存款得fUSD->再把USDT換回USDC平衡溢價->fUSD換回USDT，上述流程反復循環，反復套利。二、DeFi套利，可謂一本萬利

跨鏈貨幣市場HARD已開放BTC、BNB、BUSD借貸:據官方消息，跨鏈DeFi協議Kava旗下的貨幣市場HARD已完成借貸功能升級，目前已開放BTC、BNB、BUSD的借款功能。后續HARD將在保障用戶資金安全的前提下陸續開放更多資產的借貸功能。

HARD Protocol是基于Kava區塊鏈建立的跨鏈貨幣市場，支持BTC、XRP、BNB、BUSD、KAVA和USDX等資產供應、借貸和挖礦服務。Kava是一個支持跨鏈DeFi應用和服務的去中心化hub，目前提供Kava跨鏈借貸平臺和跨鏈貨幣市場HARD Protocol，提供主流數字貨幣的抵押借貸。[2021/5/26 22:45:01]

黑客通過閃電貸攻擊Harvest，付出和收益如何呢？成本：20個ETH；工具：閃電貸；收益：2400萬美元。用20個ETH搏了2400萬美元，然后通過renbtc通道進行匿名洗幣等操作。當然這個攻擊過程中，收益的不止黑客，還有uniswap、Curve、ETH礦工、RenVM，各自收益如下表。

Coinshares首席策略官對高盛有關“比特幣被用于洗錢”的批評提出異議:Coinshares首席策略官Meltem Demirors對高盛近期有關比特幣被用于洗錢的批評提出異議。Demirors特意提及此前高盛承認涉及洗錢的丑聞并支付了有史以來最高的罰款之一的事實，與高盛指責比特幣被用于洗錢的說法進行對此。2019年1月消息，馬來西亞去年底就一馬公司洗錢和貪腐案指控高盛，尋求高盛賠償并要求判處兩名高盛前銀行家、兩名一馬公司前工作人員監禁。英國《金融時報》幾天后援引林冠英的話報道，馬方尋求高盛賠償總額75億美元，分別是65億美元的債券發行款項和10億美元債券發行費用。高盛集團總裁兼首席運營官蘇德巍（英文名戴維·所羅門）在一份致馬來西亞人的道歉聲明中說，馬來西亞人遭“許多人欺騙，包括（馬來西亞）前任政府最高級別官員。（高盛前銀行家）蒂姆·萊斯納是其中之一。就萊斯納所起的作用，我們向馬來西亞人道歉”。萊斯納已經在美國認罪，同意歸還4.37億美元非法所得。馬來西亞財政部長林冠英說，美國高盛集團就牽扯馬主權投資基金“一個馬來西亞發展公司”洗錢和貪腐案，僅僅向馬來西亞道歉不夠，馬方堅持向高盛索賠75億美元。（Cointelegraph）[2020/5/29]

聲音 | CoinShares首席戰略官：Libra與加密領域發生的事情沒有直接關系:CoinShares首席戰略官Meltem Demirors曾經出席Libra聽證會，認為Libra不是加密貨幣，并且推斷Libra是中心化、有資產支撐、經許可的。最近，她再次談論Libra，對Libra的未來持樂觀態度，稱“它將會推出”，并補充說“它將如何、在哪里（提出）以及會有什么反應是令人感興趣的。”然而，她繼續表示Libra“與加密領域發生的事情沒有直接關系”。（AMBCrypto）[2019/12/23]

這么多協議受益，而受損的是fusdt持有者，也就是Harvest中用穩定幣挖礦的用戶。攻擊過程中，uniswap的成交量一下達到19.7億美金，這個量有點嚇人。

這個成交量放在過去是太可能發生的。那么問題來了，讓黑客用閃電貸攻擊，導致用戶資產受損失。這個閃電貸不是個好東西？閃電貸，設計的初衷就是給用戶在各協議之間套利，一丟丟錢就可以套利了。DeFi各協議之間可以相互組合，而這過程會積累一些風險，當用戶發現協議之間的套利空間，就會發起攻擊。這樣反逼DeFi項目方做好安全，不僅是代碼層面上的安全，還有協議經濟上的安全。狼，是自然的清道夫。那么這個閃電貸，應該是DeFi協議的清道夫，專業清理協議中存在的問題。從這里也突出一個問題，DeFi項目的門檻真是高，愛西歐的時候，一個白皮書就可以出去忽悠融資發幣等，然后fork一個代碼，修修改改，主網上線等。當然DeFi里面也是可以Fork一個，比如cream、各類食物挖礦等等，成熟模型之上，稍加修改一下。但是想要要有點創新，或者故事聽起飽滿一些，沒有技術實力和經濟設計實力，都搞不了。三、Harvest遭受損失，CRV卻漲了

Harvest被攻擊，用戶承受損失，而CRV價格卻暴漲了。

這不知道是有人做盤，還是對Crv是真利好。Harvest遭受攻擊后，停止了在CRV中的穩定幣挖礦，對于CRV來說，少了一個無情挖提賣的機槍池，或許是這個刺激吧。

Tags：USDVESTVESESTPUSD幣CoinvestlivesoneDogestribute

Filecoin