Il rapporto post mortem prometteva che gli utenti interessati sarebbero stati riparati
Harvest Finance è un yield aggregator DeFi che consente agli utenti di guadagnare i massimi rendimenti implementando strategie di investimento sui progetti DeFi. Tuttavia, il yield farming è ancora sperimentale e gli smart contract comportano dei rischi, come evidenziato ieri.
L’hacking è avvenuto il 26 ottobre alle 02:53:31 UTC quando l’aggressore ha rubato un totale di 24 milioni di dollari dalle casseforti USDC e USDT di Harvest Finance manipolando il valore delle risorse all’interno del pool Y di Curve.fi. L’autore dell’attacco ha sfruttato un arbitraggio e una perdita temporanea utilizzando un grande prestito flash.
Il rapporto post mortem di Harvest Finance, pubblicato la scorsa notte, ha spiegato in dettaglio come l’autore dell’attacco abbia utilizzato gli scambi di mercato con un volume elevato, per ridurre il prezzo delle azioni di fUSDC di circa l’1%. Tuttavia, poiché il controllo di arbitraggio all’interno della strategia di Harvest non ha superato la soglia del 3%, non ha annullato la transazione.
Dopo 17 transazioni di attacco al deposito USDC, l’aggressore ha ripetuto il processo per il deposito USDT, impiegando un totale di sette minuti, anche se poi ha rispedito quasi 2,5 milioni di dollari al deployer di Harvest.
L’hacking ha fatto scendere il prezzo delle azioni della cassaforte USDC del 13,8% e quello del caveau USDT del 13,7%. Harvest Finance ha stimato una perdita del 3,2% del valore totale bloccato nel protocollo e i dati di CoinGecko mostrano che FARM, il token nativo di Harvest Finance, è sceso del 58% da $ 232,78 a $ 96,90 nelle tre ore successive all’attacco.
In risposta, Harvest Finance si è assunta la responsabilità dell’errore di progettazione che ha consentito l’attacco, e al momento sta facendo della riparazione per gli utenti interessati una priorità assoluta. Stanno anche ritardando i miglioramenti degli smart contract, che dovrebbero essere rilasciati oggi, fino a quando la loro sicurezza non sarà stata rivalutata.
Il team sta ora esaminando strategie di mitigazione per il futuro, come una soglia più rigida per il controllo dell’arbitraggio – utilizzando gli oracoli per determinare il prezzo dell’asset – e l’implementazione di un meccanismo di commit-and-reveal per i depositi, il che significherebbe che gli utenti non potrebbero più eseguire depositi e prelievi all’interno di una singola transazione.
Harvest Finance ha dichiarato di non avere alcun interesse nel voler fare doxing all’autore dell’attacco, ma ha offerto invece una ricompensa di $ 100.000 per la prima persona o squadra che aiuti a restituire i fondi, e se il ritorno avviene nelle successive 36 ore, la ricompensa ammonta a $ 400.000.
Tuttavia, alcuni nella comunità crypto pensano che gli sviluppatori di Harvest Finance possano essere effettivamente coinvolti nell’attacco. L’analista di DeFi Chris Blec ha sottolineato domenica che Harvest Finance era gestita da un team anonimo con una chiave di amministrazione che potrebbe essere potenzialmente utilizzata per drenare i fondi.