Harvest Finance geeft toe dat een ‘technische fout’ tot 24 miljoen dollar diefstal heeft geleid

Harvest Finance geeft toe dat een ‘technische fout’ tot 24 miljoen dollar diefstal heeft geleid

By Benson Toti - Kort bericht
Bijgewerkt 06 July 2022
Foto van een hacker achter een computer

Het post-mortem rapport beloofde dat getroffen gebruikers gecompenseerd zullen worden

Harvest Finance is een DeFi opbrengst aggregator waarmee gebruikers maximale rendementen kunnen verdienen door op DeFi projecten investeringsstrategieën te implementeren. Yield farming is echter nog experimenteel en smart contracts brengen risico’s met zich mee, zoals gisteren aangetoond werd.

De hack vond op 26 oktober om 02:53:31 UTC plaats, toen een hacker in totaal 24 miljoen dollar uit de USDC en USDT kluizen van Harvest Finance stal, dit door de waarde van activa in de Y pool van Curve.fi te manipuleren. De hacker maakte gebruik van een arbitrage en een tijdelijk verlies met behulp van een grote flashloan aanval.

In het post-mortem rapport van Harvest Finance, dat gisteravond laat werd vrijgegeven, werd gedetailleerd beschreven hoe de hacker markttransacties met een groot volume gebruikte om de aandelenkoers van fUSDC met ongeveer 1% te verlagen. Aangezien de arbitrage controle binnen de Harvest strategie niet de drempel van 3% overschreed, werd de transactie niet teruggedraaid.

Na 17 transactie aanvallen op de USDC kluis herhaalde de hacker het proces op de USDT kluis, wat in totaal zeven minuten in beslag nam, hoewel ze vervolgens bijna 2,5 miljoen dollar naar de Harvest deployer terugstuurden.

Door de hack daalde de koers van de USDC kluis met 13,8% en die van de USDT kluis met 13,7%. Harvest Finance schatte een verlies van 3,2% in van de totale waarde die in het protocol vergrendeld is, en CoinGecko data toont aan dat FARM, het oorspronkelijke token van Harvest Finance, in de drie uur na de aanval met 58% van 232,78 naar 96,90 dollar daalde.

Als reactie hierop heeft Harvest Finance de verantwoordelijkheid voor de technische fout, waardoor de aanval kon plaatsvinden, op zich genomen en maakt een topprioriteit van de compensatie van getroffen gebruikers. Ze stellen tevens de smart contract verbeteringen uit, die gepland stonden ​​om vandaag te worden vrijgegeven, totdat hun beveiliging opnieuw beoordeeld is.

Het team onderzoekt nu voor de toekomst mitigatie strategieën, zoals een strengere drempel voor de arbitrage controle, om met behulp van orakels de activaprijs te bepalen, en de implementatie van een ‘commit-en-reveal’ mechanisme voor deposito’s, wat zou betekenen dat gebruikers niet langer binnen een enkele transactie stortingen en opnames zouden kunnen uitvoeren.

Harvest Finance zei dat ze er geen belang bij hadden de hacker via doxxing op te sporen, maar bood wel een premie van 100.000 dollar aan voor de eerste persoon of het eerste team om het geld terug te halen, of een premie van 400.000 dollar als deze teruggave in de komende 36 uur plaatsvindt.

Sommigen in de crypto community denken echter dat de ontwikkelaars van Harvest Finance zelf mogelijk bij de aanval betrokken zijn. DeFi analist Chris Blec wees er zondag op dat Harvest Finance door een anoniem team wordt gerund met één beheerderssleutel die mogelijk gebruikt zou kunnen worden om geld op te halen.