Harvest Finance进击事宜全复盘：如何用20个ETH的本钱撬动3000万美元收益？_数字货币

[2021-02-10 10:12:22] 来源：编辑：wangjia 点击量：

评论 点击收藏

导读： 经历了此次攻击风波，Harvest Finance链上锁仓量也从11.1亿美元量已骤降至4.5亿美元，最大跌幅60%。一文看懂分布式存储市场，哪些项目值得关注？分布式存储从概念到落地，将不再是空中

经历了此次攻击风波，Harvest Finance链上锁仓量也从11.1亿美元量已骤降至4.5亿美元，最大跌幅60%。

一文看懂分布式存储市场，哪些项目值得关注？

分布式存储从概念到落地，将不再是空中楼阁，未来的市场前景具备足够的想象空间。

作者：秦晓峰

泉源：Odaily星球日报

本日上午，DeFi 聚合协定 Harvest Finance 针对昨天闪电贷进击宣告声明。

依据通告，本次进击丧失合计 3380万美圆（此前媒体报道是 400 万美圆），约占进击发作前协定中锁仓总代价的 3.2％；进击者退回的 247 万多美圆，将依据快照按比例分配给受影响的储户；将来 Harvest Finance 将对存款执行“提交-表露”机制，削减闪电贷进击，运用预言机来一定资产价钱，并进步存款 arb 设置(当前阈值设置为 3%）。

昨天上午 10 点，推特用户爆料称，进击者经由历程闪电贷依托 20 ETH 的本钱（手续费）在 Curve 协定 y 池举行套利取得无常丧失，而 Curve.fi Y 池恰是 Harvest 金库投资的处所。进击者随后将资金转换为 renBTC并套现，Harvest 也因而丧失数百万美圆，不少参与者称丧失了 15%～20% 以上的资金。

受此影响， Harvest Finance 治理代币 FARM 价钱从 237 美圆一度狂跌至 78 美圆，最大跌幅靠近 70% ；停止本日发稿，FARM 价钱回升至 110 美圆摆布；Harvest 协定锁仓量，也从 11.1 亿美圆量已骤降至 4.5 亿美圆，最大跌幅 60%。

不过，Curve 协定却并未遭到影响，其治理代币 CRV 价钱在过去 24 小时不停爬升，一度升至 0.44 USDT，最大涨幅靠近 30%。

（1）事宜回忆：闪电贷套利

Harvest Finance，是一个 DeFi 收益聚合器，其主要功用是向别的 DeFi 池供应流动性来为本身的流动性供应者赚取收益。在进击发作前，Harvest Finance 主要在 Curve 协定 y 池供应流动性。

进击者是怎样完成进击，完成套利的？

先为人人捋一下本次进击的逻辑，简朴来讲分三步，即「借贷-正向支配价钱-逆向支配价钱」：

进击者经由历程闪电贷借出大批 USDT 以及 USDC；在 Y 池将大批 USDT 兑换成 USDC，致使 USDC 价钱升高；由于 Harvest 池内 USDC 价钱参考 Y 池，也随着上涨；此时再用 USDC 在 Harvest 池兑换更多的 fUSDC；在 Y 池对上述历程逆向支配，将大批 USDC 兑换成 USDT，致使 USDC 价钱下落；此时 Harvest 池内 USDC 价钱也随着下落；再用 fUSDC 能够兑换出比本来更多的 USDC，完成套利。固然，为了使得链上生意业务能在极短的时候内举行，因而每笔生意业务都给足了手续费。

Harvest Finance 通告引见了完整的进击链条：

经由历程以太坊匿名转账平台 Tornado.cash 转入 20 ETH 作为后续进击手续费，进击者钱包地点是 0xf224ab004461540778a914ea397c589b677e27b，并布置了一个进击合约 0xc6028a9fa486f52efd2b95b949ac630d287ce0af。经由历程 Uniswap V2 闪电贷借出巨额 USDT（18,308,555.417594 ）与 USDC（5000 万），注入进击合约中；（解释：闪电贷请求乞贷和还款在"一个生意业务"中完成，不然就撤回借贷资金，进击者恰是利用了这段空缺时候，完成了套利生意业务；闪电贷套利也是如今较为广泛的一种体式格局。）该合约在 Curve 协定 Y 池内经由历程交流协定将 17222012.640506 USDT 兑换成了 USDC。交流的影响是，由于别的资产发作了无常丧失，Y 池内的 USDC 代价升高，取得了 17216703.208672 USDC；此时，进击者加上之前闪电贷款的本金，进击持有约 6721 万 USDC、108.65 万的 USDT。进击者将 49,977,468.555526 USDC 存入 Harvest 的 USDC 金库，根据单价 fUSDC/USDC=0.97126080216，兑换了 51,456,280.788906 fUSDC。进击前单价为 0.980007，如今单价 0.9712 环比下落约莫 1%，并没有触发 Harvest 套利战略设置的 3% 红线，因而生意业务有效且胜利举行，没有被强迫恢复。进击者经由历程 y 池，将盈余的 17239234.653146 USDC 兑换回 17,230,747.185604 USDT；由于无常丧失效应的恢复，此时 Y 池中 USDC 代价下落，进击者取得 17,230,747.185604 USDT。进击者从 Harvest 的 USDC 金库中提币，由于此时 Y 池内的 USDC 代价下落，fUSDC/USDC单价升高至 0.98329837664，进击者将此前悉数的 fUSDC（约 5145 万）的股分交流回了 50596877.367825 USDC。而且，USDC 完整由 Harvest 的 USDC 金库付出，完整不与 Y 池交互，也就不会影响 Y 池内 USDC 价钱。经由这么一次套利，进击者的净利润（不包含闪电贷借贷用度）为 619408.812299 USDC。然后，进击者统一笔生意业务中反复了频频该历程。在 4 分钟内，进击者针对 USDC 金库执行了 17 笔进击生意业务后，然后有效相似的体式格局对 USDT 金库提议进击，并在 3 分钟内完成了 13 笔进击生意业务。北京时候 10 月 26 日 11:01:48 ，进击者将 13,000,000 USDC 和 11,000,000 USDT 从进击合约中转移至地点 0x3811765a53c3188c24d412daec3f60faad5f119b。事宜暴光后，进击者向 Harvest 返还了部份资金，合计 1761898.396474 USDC 和 718,914.048541 USDT。进击发作后，不少人在 Harvest 推特下留言称，丧失了 15%-20% 的资金。浩瀚 KOL 也发起用户先将资金从 Harvest 提出，以确保资金平安。

依据 Harvest 统计，用户丧失状况不容乐观：USDC 金库单价从 0.980007 跌至 0.834953，USDT 金库单价从 0.978874 跌至 0.844812，跌幅分别为 13.8％和13.7％；合计丧失的代价约为 3380 万美圆，约占进击发作前协定中锁仓总代价的 3.2％。

（2）官方立场：弥补以外，进击者还钱就行

变乱发作后，Harvest 团队发文示意，为了庇护用户，已采纳步伐阻挠向稳固币和 BTC 金库存款，现有存款将继承赚取 FARM。

依据本日上午通告，Harvest 已从同享池中撤出一切资金，包含 DAI、USDC、USDT、TUSD以及 WBTC 和 renBTC。这些资金如今存放在金库中，不会遭到进一步的市场支配。别的，此次进击没有涉及到 DAI、TUSD、WBTC 和 renBTC，这些金库的储户没有遭到影响。

别的，关于用户赔偿方面，Harvest 示意，进击者退回的 247 万多美圆，将经由历程快照按比例分配给受影响的储户,其他弥补要领将在治理中举行剖析和表决。

此次变乱，也暴露了 Harvest 体系机制所存在的弊端。

慢雾平安团队剖析以为，此次进击主假如 fToken（fUSDC、fUSDT等）在铸币时采纳的是Curve y 池中的报价，致使进击者能够经由历程巨额兑换操控预言机的价钱来掌握 fToken 的铸币数目。

针对报价问题，Harvest 下一步将运用预言机来一定资产价钱。

“虽然一个近似的资产价钱可有效地从外部预言机（由 Chainlink 或 Maker 供应）中一定，然则它与现实价钱的联络异常松懈。假如底层 DeFi 协定内的资产代价与预言机报价差别，金库将面临自在套利和闪电贷进击。这不是 Harvest 的解决计划，然则，在体系设想和大概的减缓战略中，我们将斟酌运用预言机。”

而且，将来 Harvest Finance 将对存款执行“提交-表露”机制，削减闪电贷进击，进步存款 arb 设置(当前阈值设置为 3%）。另外，Harvest Finance 原定于 10 月 27 日宣告的智能合约革新设计也将被推延，以便在进击背景下再次评价其平安性。

关于进击者，Harvest Finance 宣告了相干涉案地点，并发文示意，“除了持有被盗资金的BTC地点，我们如今还猎取了大批关于进击者的个人身份信息，他在加密社区很是著名。”

不过，Harvest Finance 好像无意清查进击者的身份信息。

“我们对公然进击者个人信息不感兴趣，我们尊敬你的手艺和独创性，只需你把钱返还给用户。进击者已证明了他们的看法。假如他们能把这笔钱返还给用户，将会遭到社会各界的高度赞扬，将资金返还给受影响的用户是重点。”

在通告中，Harvest Finance 示意：

我们向第一个协助我们找回资金的个人或团队供应 10 万美圆的赏金。假如是在接下来的 36 小时内完成退还，则赏金为 40 万美圆。请不要在这个历程当中人肉搜刮进击者，我们强烈发起将一切勤奋集合在确保用户资金胜利返还给布置职员上。由于进击者一直在经由历程 RenBTC 举行变现。停止发稿时，Harvest Finance 官方已宣告经由历程与 RenProtocol 协作，猎取相干 RenBTC 提现地点，并宣告了经由历程 RenProtocol 导出的 BTC 地点，如今正在追求币安、火币、OKEx 和 Coinbase 等生意业务平台的协助，愿望能够凝结相干地点。（3）深陷负面言论的 Harvest Finance

由于 Harvest Finance 看待进击者立场较为「暗昧」，不少声响以为官方贼喊捉贼，上演了一出贼喊捉贼的大戏。

加密 KOL@Bitcoin 发出质疑：

现实上没什么事能比直接抢用户本金更赢利，FARM 总市值就 2500 万，项目方 20% 的币，即使一切币卖完也就赚 500万，赚千把万是极限了，而搞这么一出收益几万万。连系项目方对这件事的处置惩罚计划，我以为确切不小的几率项目方贼喊捉贼，所以他们一定不会把本身搞来的钱在拿去填这个坑；黑客冒着风险，只盗取了几万万美圆却没有直接把上亿的池子悉数榨干，显著是不想让项目死掉，和团队的好处是一致的；有投资者在推上问能不能拿部份团队的币来赔偿受害者，Harvest回覆资金数额太大了，本身不能负担。现实上人人都清晰赔不赔和能不能赔得起是两回事，这个团队压根不想赔；据投资者称，此前社区里的投资者不停地在回响反映fusd被套利净值不停下跌的状况，但团队一个多月面临这状况一直置若罔闻，任由“黑客”套利。这并非 Harvest Finance 第一次深陷言论危急。

就在套利进击前两天，DeFi 观察者 Chris Blec 就展现了风险：该项目合约锁定的 10 多亿美圆资金完整受匿名开发者的掌握，而且开发团队存在锐意遮盖这一现实的怀疑。