Harvest Finance verliest $24 miljoen aan hackers

Iedereen weet inmiddels dat de DeFi-sector in 2020 in het middelpunt van de belangstelling van de crypto-industrie stond. De sector is in slechts enkele maanden tijd met miljarden en miljarden dollars gegroeid. Maar net zoals het nieuwe gebruikers en investeerders begon aan te trekken, evenals hun geld, begon het ook hackers aan te trekken die geïnteresseerd waren in het stelen van dat geld.

Dit is precies wat er is gebeurd met een DeFi-protocol dat bekend staat als Harvest Finance.

Wat is er gebeurd?

Volgens nieuwe informatie is iemand erin geslaagd het project te hacken door een kwetsbaarheid van het hele DeFi-ecosysteem te misbruiken. Door de fout konden ze maar liefst $ 24 miljoen stelen van Harvest Finance, een opbrengstaggregator die liquiditeit verschaft aan een aantal andere DeFi-pools.

Van wat het project op Twitter deelde, slaagden hackers er schijnbaar in om het mechanisme van het project in de Y-pool van Curve te gebruiken en een aanval uit te voeren.

The economic attack was performed through the curve y pool, stretching the price of the stablecoins in Curve out of proportion and depositing and withdrawing a large amount of assets through harvest.

To protect users, we've pulled y pool and btc curve strategy funds to the vault
— Harvest (@harvest_finance) October 26, 2020

Naar verluidt waren hackers in staat om de prijs van de stablecoins van de Curve Y-pool te verhogen door middel van arbitragemanipulatie, met behulp van een flashlening van $ 50 miljoen. Daarna gebruikten ze Bitcoin- en stablecoin-pools op Harvest Finance zelf om een nog groter aantal stablecoins te krijgen, terwijl ze dure munten op Curve leverden.

De hele aanval duurde slechts ongeveer zeven minuten en gedurende die tijd wisten de aanvallers weg te lopen met $ 24 miljoen.

Het handelsvolume op USDT en USDC op Curve steeg van $ 10 miljoen tot meer dan $ 2,7 miljard op het moment van de aanval.

Nog een aanval met een bekende methode

Dit is ook geen nieuwe methode, aangezien de aanval zelf en de aard ervan al uitvoerig werden besproken in een academische paper van Imperial College London. De paper legt precies uit hoe flitsleningen kunnen worden gebruikt om de prijzen van tokenparen te manipuleren, wat zou leiden tot een liquiditeitsverlies.

Deze aanval lijkt ook erg op de aanval die Eminence trof, waarbij een hacker $ 15 miljoen wist te stelen. Zoals velen zich misschien herinneren, kwam dit incident met een interessante wending, aangezien de aanvaller uiteindelijk de helft van het gestolen geld naar een adres van de hoofdontwikkelaar van het project stuurde.

Dit keer gebeurde hetzelfde, hoewel de aanvallers niet de helft van het geld terugstuurden, maar slechts 10% van wat ze hadden gestolen. Hoewel sommigen denken dat dit de kenmerkende zet van de aanvaller kan zijn, beschouwen anderen het als een nieuwe trend die ontwikkelaars mogelijk overnemen.

“The attacker” sent some funds back because they’re such nice people. If this isn’t strong evidence that “the attacker” and “the devs” are the same then I don’t know what is. https://t.co/lNcE2DkcA6
— Riccardo Spagni (@fluffypony) October 26, 2020