Harvest Finance - REKT

La faucheuse ne se plie pas à la récolte.

Un talentueux farmer a utilisé des flash loans afin de récolter 33,8 millions de dollars dans les pools FARM_USDT et FARM_USDC.

En ces périodes troublées, certains se tournent vers les textes sacrés pour être guidés.

Dix plaies ont ruiné les récoltes de l'Égypte ancienne : la première a apporté du sang, la seconde, des grenouilles.

Le baron de Rothschild avait conseillé d’acheter quand le sang coule dans les rues.

Maintenant que les enivrants jours de l’été de la DeFi sont terminés, le DFI-PERP a une liquidité en gueule de bois, et même les farmers les plus illuminés par la Grâce adoptent des comportements peu chrétiens.

Nous pouvons lire dans dans l’Exode les versets suivants :

“Je vais frapper par des grenouilles toute l'étendue de ton pays.(...)Les grenouilles monteront sur toi, sur ton peuple, et sur tous tes serviteurs.”

Dans notre métaverse cryptographique, le développeur est le serviteur, et comme cela a été prophétisé dans les anciens rouleaux, les développeurs de Harvest Finance ont certainement des grenouilles sur eux.

Analyse de l'arbitrage

Le fUSDT a chuté de 13.7% et le $FARM de 67% en à peine deux heures alors que le hacker a contracté un flash loan de 50 millions d’USDT, avant d’utiliser la pool Y de Curve Finance pour swap les fonds et étirer les prix du stablecoin dans des mesures disproportionnées.

Analyse détaillée des transactions ici.

Les actions suivantes se sont déroulées en 7 minutes. Source : @valentinmihov

1. Swap de 11.4 millions d’USDC en USDT -> Le prix de l’USDT monte

2. Dépôt de 60.6 millions d’USDT dans le Vault

3. Échange de 11.4 millions d’USDT en USDC -> Le prix de l’USDT descend

4. Retrait de 61.1 millions d’USDT du Vault -> profit de 0.5 million

5. On prend les mêmes et on recommence, et ce 32 fois (sans aucun test préalable)

6. Conversion en renBTC et sortie en BTC / ETH via Tornado Cash

L’assaillant a pu retirer plus d'USDT à l'étape 4 en raison de son changement de prix. Comme le prix de l'USDT était plus bas au moment du retrait, ses parts avaient plus d’USDT dans la pool du Vault.

Environ 4 cycles peuvent entrer dans une limite de 10m de gas, et bien que le bénéfice sur chaque cycle soit inférieur à 1%, ~500k$ par répétition s'additionnent rapidement.

Le mécanisme de calcul du prix pour les dépôts et les retraits de LP a été l’origine de l’exploit, ce qui signifie que cette attaque aurait pu être reportée sur la pool renBTC, la pool FARM_TUSD et la pool FARM_DAI. Mais l’assaillant à décidé de s'arrêter après avoir drainé 25 millions de dollars, soit 17% de ce qui était disponible dans les pools FARM_USDT et FARM_USDC, même s’il aurait pu facilement continuer à drainer la pool tout entière pour un montant total de 400 millions de dollars si telle avait été sa volonté.

La stratégie FARM_USDT a le code suivant

Ce qui indique qu'un certain indice de prix a été calculé.

Cependant, comme ils spécifient "tokenIndex", nous pouvons supposer qu'ils n'utilisent pas seulement get_virtual_price() mais qu’à la place ils font un calcul sous-jacent.

Source : Andre Cronje

La valeur de tolérance de la fonction de vérification de l’arbitrage n’était pas assez élevée, tandis que la valeur de tolérance de slippage par défaut était trop élevée de 3%.

Source : PancakeBunnyFin

Le hacker n’a pas été le seul à profiter de ses actions. Les Lps et les développeurs de chez Harvest ont aussi reçu une importante somme d’argent, puisque le hacker a décidé de renvoyer des miettes ($2,478,549.94) de son festin au déployeur Harvest sous la forme d’USDT et d’USDC.

Harvest a depuis déclaré que cela serait retourné à ceux affectés par le hack grâce à un snapshot.

Pas de hacker. Simplement un juteux arbitrage de 24 millions de dollars (0x53f) sur @harvest_finance

50 millions d’USDC en flash loan sur @UniswapProtocol Swap de 11 millions de $ (USDT/USDT) @CurveFinance ~61M on fUSDT Vault Swap de 11 millions de $ USDT/USDC yUSDT Retrait de 61 millions de $ avec un profit de 0.5 millions de $ Répétition & blanchiment sur @TornadoCash t.co/nFTuyU3s6w pic.twitter.com/2oXQ2PsY32 > — Julien Bouteloup (@bneiluj) 26 octobre 2020

Un bénéfice chanceux pour les fournisseurs de liquidité.

Les chiffres approximatifs sont les suivants. Source : Jiecut42

Hacker - 24,000,000 $

LPs de chez Uniswap - 6,000,000 $

Développeur de chez Harvest - 2,500,000 $

LPs de chez Curve - 1,000,000 $

Gas d’Ethereum - 100,000 $

Frais RenVM - 20,000 $

Source : BitcoinWhiskers pour ce délicieux camembert.

Avec l’exposition à toutes les pools de Curve les détenteurs de CRV ont profité du volume supplémentaire passant par Curve, le hacker générant ~500k $ de frais de trading qui seront redistribués à tous ceux qui stackent leur CRV. Les frais de trading de Curve ont augmenté de 8,000% par rapport à la veille du jour où le hacker a swappé pour plus de 100 millions de $ en USDT et USDC.

Les LPs d’Uniswap ont également connu une bonne journée à la ferme grâce aux actions de ce superfarmer.

Le volume total des échanges avec Uniswap est passé de 148 millions de dollars à 1 milliard de dollars en 24 heures.

92% de ce volume provenait des paires USDT/ETH et USDC/ETH, générant 5,76 millions de dollars de frais pour les fournisseurs de liquidité.

Source : Larry Cermak

Contributeur confidentiel

Deux de nos missions principales, ici à Rekt, sont de lancer des alertes et de protéger nos contributeurs.

Pendant que votre auteur rédigeait ce compte-rendu, quelqu'un nous a contacté avec des informations concernant les actions de Harvest Finance quelques jours avant les événements de la nuit dernière.

Les informations suivantes sont présentées sans commentaire.

J'ai été contacté par l'équipe de Harvest Finance qui cherchait une collaboration pour la promotion des pools de liquidité pour deux classes d'actifs.

La première était trustless BTC, la seconde était FARM/ETH.

J’ai décidé de ne pas donner suite car quelque chose clochait.

Je ne dis pas que c’est l’équipe d’Harvest, mais voir les 3% de slippage dans le smart contract, et le fait que l’exploit soit sur le trustless BTC, qui est une “nouveauté”...

Je pense que si ce n’est pas Julien, alors ce doit être Harvest Finance eux-mêmes, ou le hacker EMN, ou quelqu'un avec une connaissance approfondie des flash loans.

Demandes de remboursement

Comme d'habitude, un débat s'est ouvert sur la possibilité pour les protocoles de bloquer ou de modifier ce type d'activité à l'avenir. Dans le groupe Telegram de Curve, certains étaient d'avis que Curve devrait pouvoir bloquer ce type d'activité, même si les smart contracts existant ne peuvent eux être stoppés ou modifié.

Des appels ont également été lancés pour que RenBTC rembourse les frais gagnés grâce à l'activité des hackers. C'est un sujet controversé qui oblige les utilisateurs à peser le pour et le contre de l'utilisation de protocoles décentralisés.

Des négligences en matière de sécurité

Il y a seulement 3 semaines de cela, le 6 octobre, Harvest Finance a publié une mise à jour de sécurité statuant qu’ils assuraient la sécurité de leur territoire via “de rigoureux audits de sécurité” de Peckshield, Haechi Labs, et CertiK.

Il convient de noter que Peck Shield et CertiK ont également audité Bzx plus tôt cette année, juste avant leurs trois hacks.

Nous attendons leurs commentaires concernant cette affaire.

Les développeurs et apparemment même les sociétés de sécurité spécialisées ne sont pas habitués à devoir prendre en compte l'impact des flash loans sur leur code.

Maîtriser les flash loans revient à participer à un tournoi de joute du XIIe siècle sur une Harley Davidson avec deux AK47. Personne ne s'y attend, la plèbe se fait rekt, et il faudra des années avant que les masses non éduquées puissent se protéger contre ces ces experts du trading sauvage.

Harvest Finance a réagi à ces événements avec un ton agréablement passif-agressif.

twitter.com/harvest_finance/status/1320624369543057409

Une technologie sincère

Arbitrage / Exploit / Hack.

Les différences de terminologie deviennent de plus en plus floues, tandis que l’adage “le code fait loi” devient lui parfaitement limpide.

Le terme choisi par Harvest Finance a été “attaque économique d'arbitrage”. Certains considèrent cette activité comme un crime, tandis que d'autres y voient simplement les actions d'un utilisateur plus compétent, du yield farming avec des machines modernes.

Cela relève-t-il de la méritocratie ou de l’anarcho-capitalisme ?

Cela demeure passionnant dans tous les cas.

Caveat emptor.

Il n’y a que le fermier qui plante minutieusement ses graines au printemps qui peut avoir une récolte en automne. B.C. Forbes

REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.

faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

avertissement:

REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.