Harvest遭受閃電貸攻擊,駭客透過Curve盜走2300萬美元
Kyle /張詠晴編譯
2020-10-26 14:20

DeFi協議Harvest.Finance今日午間發布消息稱,駭客正在透過Curve y池進行經濟攻擊,使Curve中穩定幣的價格超出了對應比例,並透過Harvest協議存入和提取大量資產。為了保護用戶資金,Harvest已將y池和btc curve策略資金提出,並轉移至Curve金庫。具體來說:為了保護用戶,已將100%的穩定幣和BTC curve策略資金從策略中撤出到金庫。下一步:為了保護用戶,Harvest正在阻止透過該協議,向Curve穩定幣和BTC金庫中存款。

駭客從Curve轉移USDT之後,其中一部分透過Uniswap將其轉換為renBTC,向比特幣區塊鏈遷移。

首次攻擊影響,Uniswap平台今日交易量暴漲超過1200%,24小時交易量達到20.08億美元,其中ETH相關交易規模佔到20.06億美元,24小時漲幅1514%。

對於這次攻擊,Harvest解釋說,像其他套利經濟攻擊一樣,這是一次大型閃電貸攻擊,駭客透過操縱一個貨幣樂高(Curve y池)的價格,以多次消耗另一個貨幣樂高(fUSDT,fUSDC)的資產。

攻擊者然後將資金轉換為renBTC,並以BTC的形式離場。

與其他Flashloan攻擊一樣,攻擊者沒有為項目方留下反應時間,而是在7分鐘內完成了端到端攻擊。攻擊者錢包最後透過renBTC提走資金。

不過,攻擊者最後以USDT和USDC的形式,向部署者退回了2,478,549.94美元資金。這些資金之後將透過攻擊發生之前的截圖,按比例分配給受影響的存款者。

根據分析,此次攻擊中,大約有2300萬美金的USDT從Curve流出。Harvest Finance表示還在調查中,安全機構也正在參與調查。由於各大平台的DeFi理財項目,很多都是在Curve上運行,目前尚不確定有多少投資者遭受損失。

本文為巴比特資訊授權刊登,原文標題為「Harvest遭受閃電貸攻擊,駭客通過Curve盜走2300萬美元