Harvest Finance - REKT
La muerte no se preocupa por la Harvest.
Un farmer talentoso utilizó flash loans para cosechar $33.8 millones de las pools FARM_USDT y FARM_USDC.
En tiempos difíciles, algunos acuden a los textos sagrados buscando guía.
De las diez plagas que destrozaron las cosechas del Antiguo Egipto, la primera trajo sangre, y la segunda; ranas.
Fue el Barón Rothschild quien aconsejó comprar cuando hubiera sangre en las calles.
Ahora que los días intoxicadores del verano DeFi han acabado, el DFI-PERP ha adoptado una liquidez optimista, y el comportamiento de los Farmers Ilustrados se ha convertido decididamente en uno nada cristiano.
En Éxodo 7:25 8-15, leemos:
“heriré todo tu territorio con ranas... Y subirán las ranas sobre ti, sobre tu pueblo y sobre todos tus siervos.”
En nuestro metaverso criptográfico, el desarrollador es el siervo, y como fue predicho en los antiguos pergaminos, los desarrolladores de Harvest Finance tienen las ranas encima por doquier.
Análisis del Arbitraje
fUSDT cayó 13.7% y $FARM cayó 67% en dos horas cuando el hacker tomó un flash loan de $50m USDT, luego utilizó la pool Y de Curve Finance para canjear fondos y manipular los precios de stablecoins fuera de proporción.
Un análisis detallado de las transacciones se encuentra aquí.
Las siguientes acciones sucedieron dentro de un periodo de 7 minutos. Crédito @valentinmihov
- Canjear 11.4m USDC a USDt -> sube el precio de USDT
- Depositar 60.6m USDT a la Vault
- Intercambiar 11.4m USDT por USDC -> baja el precio de USDT
- Retirar 61.1m USDT de la Vault -> 0.5m de ganancia
- Repetir 32 veces (sin haberlo probado antes)
- Convertir a renBTC y escapar a BTC / ETH vía Tornado Cash
El agresor fue capaz de retirar más USDT durante el paso 4 debido al precio manipulado de USDT. Ya que el precio de USDT estuvo más bajo durante la retirada, sus proporciones representan más USDT de la Vault pool.
Aproximadamente caben 4 ciclos en un límite de gas de 10m, y aunque la ganancia de cada ciclo es menos que 1%, ~$500k por repetición suman bastante rápido.
El mecanismo de cálculo de precios para los depósitos y retiradas de LP fue la raíz del exploit, lo que significa que este ataque pudo haberse extendido hasta la pool renBTC, la pool FARM_TUSD y la pool FARM_DAI. Sin embargo, el hacker eligió parar después de retirar $25m o 17% de lo disponible en las pools FARM_TUSD y FARM_DAI, aunque fácilmente pudo haber seguido vaciando la pool entera para un total de $400m si lo hubiese querido.
La estrategia FARM_USDT tiene el siguiente código:
Lo que indica que algún índice de precio fue calculado.
Sin embargo, dado que especifica “tokenIndex”, podemos asumir que no está simplemente usando get_virtual_price() sino que hace algún cálculo subyacente.
Crédito: Andre Cronje
El valor de tolerancia de la función arbitrage check no fue suficientemente alto, pero el valor de tolerancia de slippage default de 3% fue demasiado alto.
Crédito: PancakeBunnyFin
No fue solo el hacker quien se benefició de sus acciones. Los LPs y los desarrolladores de Harvest también recibieron una razonable suma de dinero, ya que el hacker decidió devolver algunas sobras ($2,478,549.94) al Deployer de Harvest en forma de USDT y USDC.
Harvest ha dicho que esto será repartido entre los usuarios afectados pro-rata usando un snapshot.
No hacker. Simplemente un sencillo* arb jugosito de $24M (0x53f) en @harvest_finance
$50M USDC flash loan @UniswapProtocol, Canjear $11M (USDC/USDT) @CurveFinance, ~61M en fUSDT Vault, Canjear $11M USDT/USDC yUSDT, Retirar $61M con ganancia de $0.5M, Repetir & lavar a través de @TornadoCash, t.co/nFTuyU3s6w pic.twitter.com/2oXQ2PsY32 > — Julien Bouteloup (@bneiluj) Octubre 26, 2020
Proveedores de Liquidez Afortunados Acumulan
Las cifras aproximadas son las siguientes. Crédito: Jiecut42
Hacker - $24,000,000
LPs de Uniswap - $6,000,000
Desarrolladores de Harvest - $2,500,000
LPs de Curve - $1,000,000
Ethereum Gas - $100,000
Gastos de RenVM $20,000
Crédito a BitcoinWhiskers por el dulce pastel.
Con la exposición de todas las pools de Curve, los holders de veCRV han ganado del volumen extra que pasa a través de Curve ya que el hacker género ~$500k en gastos de canje que serán repartidos entre todos los que tienen staked su CRV. Las comisiones de trading de Curve aumentaron 8,000% desde el día anterior cuando el hacker cambió arriba de $100M dólares en USDT y USDC.
Los LPs de Uniswap también tuvieron un buen día gracias a las acciones de este anónimo superfarmer.
El volumen de trading total en Uniswap se disparó de $148 millones a $1 billón en 24 horas.
92% de este volumen vino desde los pairs USDT/ETH y USDC/ETH, generando $5.76 millones en comisiones para los proveedores de liquidez.
Crédito: Larry Cermak
Contribuidor Confidencial
Delatar y proteger a nuestros contribuidores es una gran parte de lo que hacemos aquí en rekt. Mientras este autor estaba escribiendo esta historia, alguien nos contactó con información relativa a las acciones de Harvest Finance de los días anteriores a los eventos de anoche.
La siguiente información se presenta sin comentar.
Yo fui contactado por el equipo de Harvest Finance con motivo de colaborar en incentivar las pools de liquidez para dos clases de activos.
La primera fue BTC trustless, y la segunda fue FARM/ETH.
No le di seguimiento porque algo me dio mala espina.
No estoy diciendo que realmente fue el equipo de Harvest, pero ver el 3% de slippage en el smart contract, y el hecho que el exploit fue en BTC trustless, que es una “novedad”...
Creo que si esto no es Julien, entonces tienen que ser Harvest Finance por sí mismos, o el hacker de EMN, o alguien con conocimiento profundo de los flash loans.
Reembolsos Requeridos
Como siempre, un debate ha surgido acerca del poder de los protocolos para bloquear o modificar este tipo de actividad en el futuro. En el grupo de Telegram de Curve, algunos opinaron que Curve debe de tener dicho poder, no obstante los smart contracts existentes no pueden ser parados ni modificados.
También hubo pedidos de que renBTC reembolse las comisiones que ganaron por la actividad del hacker. Este es un tema controversial que hace que los usuarios reconsideren los pros y contras de utilizar protocolos descentralizados.
Seguridad de Segunda
Hace solamente tres semanas, el 6 de octubre, Harvest Finance publicó una actualización de seguridad afirmando que garantizaban la seguridad de sus territorios vía “auditorías de seguridad rigurosas” de Peckshield, Haechi Labs, y CertiK.
Se debe de notar que Peck Shield y CertiK también auditaron Bzx antes de sus tres hacks sucedidos previamente este año.
Esperamos sus comentarios sobre esta situación.
Los desarrolladores y, al parecer, incluso las empresas especializadas de seguridad no están acostumbrados a considerar el impacto de los flash loans en su código.
Dominar los flash loans es como participar en un torneo de justas del siglo XII montado en un Harley Davidson y con un AK47; nadie lo espera, los plebs se quedan rekt, y pasan años hasta que las masas no educadas son capaces de defenderse ante una maestría tan brutal.
Harvest Finance ha respondido a los eventos en un disfrutable tono pasivo-agresivo.
twitter.com/harvest_finance/status/1320624369543057409
Vocabulario Verídico
Arbitraje/Exploit/Hack.
Las diferencias en la terminología se vuelven cada vez más borrosas, mientras el hecho de que “código es ley” se vuelve claro como el cristal.
El término usado por Harvest Finance fue ataque económico de arbitraje. Algunos consideran esta actividad un crimen, mientras otros simplemente ven las acciones de un usuario más hábil, el yield farming con herramientas modernas.
¿Es esto una meritocracia o anarquía-capitalismo?
Es ciertamente entretenido sea lo que sea.
caveat emptor.
Sólo el farmer que fielmente planta semillas en primavera, es quien recoge la Harvest en otoño. B.C. Forbes
REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.
dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
aviso legal:
REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.
te podría gustar...
El Gran Flash Loan
Los flash loans, para bien o para mal, han incentivado a un nido de coders talentosos de ética difusa para buscar riquezas incontables. El concepto del Arbitraje de Flash Loans no es un pecado y nunca debe de considerarse como tal.
EPIDEMIA DE HACKS (ORIGIN PROTOCOL - REKT)
Quédate en casa, ponte la mascarilla, la epidemia de los hacks está fuera de control. Estos son tiempos oscuros para el código débil. Los desarrolladores deben de poner sus protocolos en cuarentena. La ambición es contagiosa, y los hacks traen premios atractivos. En solo 24 horas nos enteramos de dos ataques más.
Value DeFi - REKT
¿Realmente sabían flashloan? El valor de una reputación es volátil. La humildad trae estabilidad, alardea demasiado y terminarás rekt. Value DeFi fue explotado hoy por $7,000,000. Otra lección dura de la familia flash loan.