Il progetto DeFi Harvest Finance perde $24 milioni causa hacker

Ormai tutti sanno che il settore della DeFi è stato al centro dell'attenzione del settore crypto nel 2020. Il settore è cresciuto aumentando di miliardi e miliardi di dollari in pochi mesi. Tuttavia, proprio come ha iniziato ad attirare nuovi utenti e investitori, così come i loro soldi, ha anche iniziato ad attrarre hacker interessati a rubare quei soldi.

Questo è esattamente quello che è successo a un protocollo DeFi noto come Harvest Finance.

Cos'è successo?

Secondo nuove informazioni, qualcuno è riuscito ad hackerare il progetto sfruttando una vulnerabilità dell'intero ecosistema DeFi. Il difetto ha permesso loro di rubare fino a $24 milioni da Harvest Finance, un aggregatore di rendimenti che fornisce liquidità a una serie di altri pool DeFi.

Da quanto il progetto ha condiviso su Twitter, gli hacker apparentemente sono riusciti a sfruttare il meccanismo del progetto nel pool Y di Curve e condurre un attacco.

The economic attack was performed through the curve y pool, stretching the price of the stablecoins in Curve out of proportion and depositing and withdrawing a large amount of assets through harvest.

To protect users, we've pulled y pool and btc curve strategy funds to the vault
— Harvest (@harvest_finance) October 26, 2020

Presumibilmente, gli hacker sono stati in grado di allungare il prezzo delle stablecoin del pool Curve Y attraverso la manipolazione dell'arbitraggio, utilizzando un prestito flash di $50 milioni. Successivamente, hanno utilizzato i pool di Bitcoin e stablecoin su Harvest Finance stessa per ottenere una quantità ancora maggiore di stablecoin, fornendo monete ad alto prezzo su Curve.

L'intero attacco è durato solo circa sette minuti e durante quel periodo gli aggressori sono riusciti a scappare con $24 milioni.

Il volume degli scambi su USDT e USDC su Curve è passato da $10 milioni a oltre $2,7 miliardi al momento dell'attacco.

Un altro attacco usando un metodo ben noto

Anche questo non è un metodo nuovo, poiché l'attacco stesso e la sua natura sono stati già discussi a lungo in un paper accademico dell'Imperial College di Londra. Il documento spiega esattamente come i prestiti flash potrebbero essere utilizzati per manipolare i prezzi delle coppie di token, il che porterebbe a un drenaggio di liquidità.

Questo attacco è anche estremamente simile a quello che ha colpito Eminence, durante il quale un hacker è riuscito a rubare $15 milioni. Come molti ricorderanno, questo incidente ha avuto una svolta interessante, poiché l'aggressore ha poi inviato metà del denaro rubato a un indirizzo appartenente allo sviluppatore principale del progetto.

Lo stesso è accaduto questa volta, anche se gli aggressori non hanno restituito metà del denaro, ma solo il 10% di ciò che hanno rubato. Mentre alcuni credono che questa potrebbe essere la mossa caratteristica degli aggressori, altri la considerano una nuova tendenza che gli sviluppatori potrebbero adottare.

“The attacker” sent some funds back because they’re such nice people. If this isn’t strong evidence that “the attacker” and “the devs” are the same then I don’t know what is. https://t.co/lNcE2DkcA6
— Riccardo Spagni (@fluffypony) October 26, 2020