Harvest Finance förlorar 24 miljoner dollar till hackare

DeFi-sektorn har sannerligen stått i centrum för kryptoindustrin under 2020. Sektorn har vuxit med miljarder och åter miljarder dollar på bara några månader. Men samtidigt som den lockar nya användare och investerare har sektorn dessvärre också börjat locka hackare som är intresserade av att stjäla pengarna.

Detta är precis vad som hänt för DeFi-protokollet Harvest Finance.

Vad hände?

Enligt ny information lyckades någon hacka projektet genom att utnyttja en sårbarhet i DeFi-ekosystemet. Sårbarheten tillät dem att stjäla så mycket som 24 miljoner dollar från Harvest Finance, ett avkastningsaggregat som genererar likviditet till ett antal andra DeFi-pooler.

Enligt uppgifter från projektet via Twitter lyckades hackare mest troligt utnyttja projektets mekanism i Curves Y-pool och genomföra en attack.

The economic attack was performed through the curve y pool, stretching the price of the stablecoins in Curve out of proportion and depositing and withdrawing a large amount of assets through harvest.

To protect users, we've pulled y pool and btc curve strategy funds to the vault
— Harvest (@harvest_finance) October 26, 2020

Hackarna kunde påverka priset för Curve Y-poolens stablecoins genom arbitrage-manipulation, med hjälp av ett flash-lån på 50 miljoner dollar. Därefter använde de Bitcoin- och stablecoin-pooler på Harvest Finance för att få en ännu större mängd stablecoins, samtidigt som de tillhandahöll dyra mynt på Curve.

Hela attacken tog bara cirka sju minuter, och under den tiden lyckades angriparna lägga beslag på 24 miljoner dollar.

Handelsvolymen för USDT och USDC på Curve ökade från 10 miljoner dollar till över 2,7 miljarder dollar vid tiden för attacken.

Ytterligare en attack med en välkänd metod

Detta är inte en ny metod. Tillvägagångssättet har t.ex. redan diskuterades utförligt i en akademiska uppsats från Imperial College London. Uppsatsen förklarar exakt hur flash-lån skulle kunna användas för att manipulera token-pars priser, vilket skulle leda till att likviditet sugs ut.

Denna attack är också väldigt lik den som drabbade Eminence då hackare lyckades stjäla 15 miljoner dollar. Som många kanske kommer ihåg avslutades de angreppet med en oväntad twist, nämligen att angriparen skickade hälften av de stulna medlen till en adress som tillhör projektets huvudutvecklare.

Detsamma hände även den här gången, även om angriparna inte skickade tillbaka hälften av pengarna, utan bara 10%. Många tror att det är angriparens sätt att sätta in signatur på attacken. Andra anser att det pekar på att utvecklare själva kan vara inblandade i hackningen.

“The attacker” sent some funds back because they’re such nice people. If this isn’t strong evidence that “the attacker” and “the devs” are the same then I don’t know what is. https://t.co/lNcE2DkcA6
— Riccardo Spagni (@fluffypony) October 26, 2020