Harvest Finance - REKT
Урожаем косилку не остановить.
Талантливый фермер воспользовался флэш-кредитами, чтобы накосить 33.8 миллиона долларов в пулах FARM_USDT и FARM_USDC.
В смутные времена некоторые обращаются к священным писаниям за наставлениями на путь истинный.
Из десяти казней, которые уничтожили урожай в древнем Египте, первым было наказание кровью, а второе - жабами.
Барон Ротшильд советовал покупать тогда, когда на улицах льется кровь.
Теперь, когда пьянящие дни лета DeFi прошли и объем ликвидности у DFI-PERP оптимистично растет, поведение более Просвещенных Фермеров стало совсем не христианским.
Исход 8:2-4:
«Я поражаю всю область твою жабами; И на тебя, и на народ твой, и на всех рабов твоих взойдут жабы.»
В нашей криптографической мета вселенной разработчик - это раб. Как и было предсказано в древних писаниях, разработчики Harvest Finance с ног до головы все покрыты лягушками.
Анализ арбитражной атаки
fUSDT упал на 13.7%, а $FARM упал на 67% всего за два часа после того, как хакер взял флэш-кредит размером в $50 миллионов USDT. Затем он воспользовался Y-пулом Curve Finance, чтобы обменять фонды и непропорционально вытянуть цены стейблкоинов.
Подробный анализ транзакций здесь.
Выполнение следующих действий заняло 7 минут. Источник: @valentinmihov
Обменять 11.4 миллиона USDC на USDT -> цена USDT повышается
Вложить 60.6 миллиона USDT в Vault
Обмен 11.4 миллиона USDT на USDС -> цена USDT падает
Вывести 61.1 миллиона USDT из Vault -> прибыль составила 0.5 миллиона
Взять те же исходные и повторить 32 раза. (без какого-либо предварительного тестирования)
Перевести в renBTC и выйти на BTC / ETH через Tornado Cash
Атакующий смог вывести больше USDT на четвертом этапе из-за того, что цена USDT изменилась. Так как цена USDT была ниже во время вывода, его доля в пуле Vault стоила больше USDT.
На лимит в 10 миллионов газа приходится примерно 4 цикла, и хотя прибыль с каждого цикла составляет меньше 1%, ~$500 за каждый повтор прибавляются быстро.
Механизм расчета цены для депозитов и выводов LP стал причиной эксплоита. Это значит, что атака могла быть перенесена на пул renBTC, на пул FARM_TUSD и на пул FARM_DAI. Однако, хакер предпочел остановиться после слива $25 миллионов, то есть 17% от доступного содержимого в пулах FARM_USDT и FARM_USDC, но он легко мог бы продолжить сливать все содержимое пула, которое составляло $400 миллионов, если бы ему того захотелось.
Код стратегии FARM_USDT выглядит вот так
Это значит, что был рассчитан определенный индекс цены.
Так как они уточняют в конце «tokenIndex», можем предположить, что они не просто используют get_virtual_price(), а вместо этого делают некоторые базовые вычисления. Источник: Andre Cronje
Значение толерантности функции проверки арбитража было недостаточно высоким, но трехпроцентное значение толерантности проскальзывания по умолчанию было слишком высоким.
Не только сам хакер нажился на своих действиях. Провайдеры ликвидности и разработчики Harvest тоже получили внушительную сумму денег, потому что хакер решил выбросить крошки ($2,478,549.94) в Harvest Deployer в виде USDT и USDC.
Harvest заявил, что эти деньги будут возвращены пострадавшим пользователям пропорционально их потерям с помощью снэпшота.
Это не хакер. Просто обычный* сочный арбитраж на $24M (0x53f) на @harvest_finance
Флэш-кредит стоимостью $50M USDC на @UniswapProtocol
Обмен $11M (USDC/USDT) на @CurveFinance
~61M в Хранилище fUSDT
Обмен $11M USDT/USDC yUSDT
Вывод $61M с прибылью $0.5M
Повтор и отмывка на @TornadoCash t.co/nFTuyU3s6w pic.twitter.com/2oXQ2PsY32 —
Julien Bouteloup (@bneiluj) 26 октября 2020
Прибыль счастливчиков - провайдеров ликвидности
Ниже приводятся примерные цифры. Источник: Jiecut42
Хакер - $24,000,000
Провайдеры ликвидности на Uniswap - $6,000,000
Разработчики Harvest - $2,500,000
Провайдеры ликвидности Curve - $1,000,000
Газ Ethereum - $100,000
Комиссия RenVM $20,000
Источник этого сладкого пирога: BitcoinWhiskers
Имея доступ ко всем пулам Curve, держатели veCRV получили прибыль от прохождения дополнительного объема средств через Curve, так как хакер сгенерировал ~500 тысяч долларов комиссии с трейдинга, которая будет поделена между всеми, кто делает стакинг CRV. Прирост сборов по трейдинговой комиссии Curve составил больше 8,000% по сравнению с днем накануне того, как хакер обменялсвыше $100M на USDT и USDC.
У провайдеров ликвидности Uniswap тоже был урожайный день благодаря работе этого анонимного супер фермера.
Общий объем торговли Uniswap подскочил с $148 миллионов до $1 миллиарда за 24 часа.
92% этого объема поступило от пары USDT/ETH и USDC/ETH, создав $5.76 миллионов гонораров для провайдеров ликвидности.
Источник: Larry Cermak
Конфиденциальный источник
Разоблачение и защита наших источников составляют огромную часть нашей работы в Rekt. Пока наш автор писал эту статью, с нами связался один человек по поводу информации о том, что делал Harvest Finance за несколько дней до событий прошлой ночи.
Следующая ниже информация дана без комментариев.
Со мной связалась команда Harvest Finance, им нужно было сотрудничество по продвижению пулов ликвидности для двух классов активов.
Первый класс был BTC, не требующий доверия, второй класс был FARM/ETH.
Я решил не продолжать работать с ними, потому что что-то меня отталкивало.
Я не говорю, что дело в команде Harvest, но когда я увидел, что проскальзывание в смарт-контракте составляло 3%, и что эксплоит был направлен на бездоверительные биткоины, что само по себе «новинка»...
Я думаю, что если это не Julien, тогда это сами Harvest Finance, или хакер EMN, или кто-то, хорошо разбирающийся во флэш-кредитах.
Запрос на возмещение ущерба
Как обычно, возник спор о способности протоколов блокировать или исправлять подобные действия в будущем. В группе Telegram протокола Curve некоторые высказывали мнение, что Curve должен иметь возможность блокировать подобные действия, однако действующие смарт-контракты нельзя остановить или модифицировать.
Также прозвучали призывы в сторну renBTC, чтобы они возместили гонорары, которые заработали благодаря действиям хакеров. Это спорная тема, которая заставляет пользователей взвешивать «за» и «против» использования децентрализованных протоколов.
Пренебрежение безопасностью
Всего три недели назад, 6 октября, Harvest Finance опубликовали обновление безопасности в котором говорилось, что они обеспечивали безопасность своей территории посредством «тщательных аудитов безопасности», проводимых компаниями Peckshield, Haechi Labs и CertiK.
Следует отметить, что Peck Shield и CertiK проводили аудит Bzx перед тем, как те подверглись трем взломам ранее в этом году.
Мы ждем их комментариев об этой ситуации.
Разработчики и кажется даже специализированные охранные организации не привыкли брать в расчет влияние флэш-кредитов на свой код.
Мастерски управляться с флэш-кредитами это как участвовать в рыцарском турнире XII века на Харли-Дэвидсоне с АК-47 наперевес; никто этого не ожидает, плебеи получают rekt и проходят годы, прежде чем необразованные массы могут защитить себя от таких экспертов дикой торговли.
Harvest Finance ответили на случившееся в славном пассивно-агрессивном тоне.
twitter.com/harvest_finance/status/1320624369543057409
Правдивая терминология
Арбитраж / эксплоит / взлом.
Разница между терминами становится все более размытой, в то время как тот факт, что «код это закон» становится четко ясным.
Harvest Finance использовали термин «экономическая атака». Некоторые видят в этом преступление, а другие просто действия более способного пользователя, фарминг доходности с использованием современной техники.
Это меритократия или анархо-капитализм?
В любом случае это точно очень развлекает.
caveat emptor.
Только тот фермер, который старательно сажает семена весной, осенью собирает урожай. [Б. Ч. Форбс
](https://en.wikipedia.org/wiki/B._C._Forbes)
REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.
Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
Дисклеймер:
REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.
Вам также понравится...
Великий флэш-кредит
Флэш-кредиты, хорошо это или плохо, вызвали в плавильном котле талантливых программистов всех видов нравственной гибкости желание отправиться на поиски неописуемых богатств. Принцип арбитража с помощью флэш-кредитов не является греховным и никогда не должен так восприниматься.
Эпидемия хакерских атак (Протокол Origin - REKT)
Оставайтесь дома, носите маску, эпидемия распространяется. Для слабого кода настали темные времена. Разработчикам нужно отправить свои протоколы на карантин. Жадность заразна, а взломы приносят призы, которые бросаются в глаза. Всего за 24 часа мы узнали о двух новых атаках.
Проект Eminence - Rekt в производстве
Прошлой ночью крипто-сообщество впало в новую волну безумия, когда не выпущенный проект Андре Кронье попал в фокус внимания сотен пользователей, которые быстро скупили загадочных токенов $EMN на $15 миллионов.