DeFi-Protokoll Erntefinanzierung ausgenutzt

DeFi-Protokoll Erntefinanzierung ausgenutzt, Angreifer hat $24 Millionen abgezogen und dann $2,5 Millionen zurückgegeben

  • Das DeFi-Protokoll „Harvest Finance“ wurde heute früh ausgenutzt. Der Angreifer zog 24 Millionen Dollar aus dem Protokoll ab und gab dann 2,5 Millionen Dollar zurück.
  • Harvest Finance sagte, der Angreifer sei „in der Krypto-Gemeinschaft bekannt“, aber er sei „nicht daran interessiert, sie zu doxxen“.

Harvest Finance, ein dezentralisiertes Finanzprotokoll (DeFi) laut Bitcoin Revolution, das von einem anonymen Team entwickelt wurde, wurde am Montag früh morgens UTC-Zeit ausgenutzt.

Der Angreifer zog 24 Millionen Dollar aus Harvest ab und gab dann aus unbekannten Gründen 2,5 Millionen Dollar an das Protokoll zurück.

Harvest ist ein dem YFI ähnliches Ertragsanbauprotokoll. Es sammelt die Erträge aus verschiedenen Verleihprotokollen und optimiert sie auf den maximalen Gewinn, um sie den Einlegern zurückzugeben.

Der Angreifer von Harvest führte einen Arbitrage-Angriff mit einem großen Blitzkredit durch

Flash-Kredite sind unbesicherte Kredite. Sie ermöglichen es Benutzern, sofort Gelder aus einem Liquiditätspool zu leihen, vorausgesetzt, das Geld wird innerhalb eines Transaktionsblocks an den Pool zurückgegeben. Der Harvest-Angreifer „manipulierte die Preise für ein Geld-Lego (Kurve y Pool), um ein anderes Geld-Lego (fUSDT, fUSDC) abzuschöpfen, und zwar viele Male“, so Harvest Finance. „Der Angreifer wandelte dann die Gelder in renBTC um und stieg bei BTC aus.

Vereinfacht ausgedrückt erlaubte es die Preismanipulation im Pool Kurve Y dem Angreifer, Farm USDT- (fUSDT) und Farm USDC- (fUSDC) Jetons aus Harvest abzuziehen. Der Angreifer wandelte diese Jetons dann in renBTC und schließlich in Bitcoin um. RenBTC ist ein Token mit Bitcoin-Unterstützung, das im Ethereum-Netzwerk verwendet wird.

In der Krypto-Gemeinschaft wohlbekannt“.

Harvest stellte einige BTC-Adressen des Angreifers zur Verfügung und sagte, dass es „eine beträchtliche Menge persönlich identifizierbarer Informationen über den Angreifer gibt, der in der Krypto-Gemeinschaft bekannt ist“.

Harvest sei jedoch „nicht daran interessiert, den Angreifer zu doxxen“. Stattdessen hat es ein Kopfgeld von 100.000 Dollar für die erste Person oder das erste Team ausgesetzt, das den Angreifer erreicht. Harvest hat auch Börsen wie Binance und Huobi gebeten, die Adressen der Angreifer zu blockieren.

Der Angriff erfolgt nur einen Tag nach der Behauptung des DeFi-Analysten Chris Blec, dass Harvest ein zentralisiertes Protokoll ist und seine Verwalter über einen „Verwaltungsschlüssel verfügen, der Gelder abfließen lassen kann“.

Bei dem heutigen Angriff sagte Blec gegenüber The Block, dass ein Insider-Job nicht ausgeschlossen werden könne, da „niemand die intelligenten Verträge besser kenne als die anonymen Entwickler“.

„In solchen Situationen geht ein kluger DeFi-Benutzer nicht davon aus, dass das, was er hofft, auch passiert ist. Der smarte DeFi-Benutzer geht davon aus, dass das Schlimmste, was passieren konnte, das ist, was passiert ist. Feindseliges Denken ist die einzige Möglichkeit, in diesem Raum sicher zu bleiben“, sagte Blec.

Harvest Finance wurde im August ins Leben gerufen und hat immer noch Benutzereinlagen im Wert von 588 Millionen Dollar in seinem Protokoll festgeschrieben. Kurz vor dem Angriff belief sich der Betrag laut dem Tracker DeFi Pulse, der zum Zeitpunkt des Schreibens zugänglich war, auf über 1 Milliarde Dollar. (Er gibt derzeit einen „500 internen Serverfehler“ an).

Der Preis von Harvests nativem Token, FARM, ist nach Angaben von CoinGecko seit dem Angriff ebenfalls um etwa 57% gefallen. Er wird derzeit bei etwa 101 $ gehandelt.