• 【超完整懶人包】認識比特幣!原理與應用全面解析|動區新手村
  • Account
  • Account
  • BlockTempo Beginner – 動區新手村
  • Change Password
  • Forgot Password?
  • Home 3
  • Login
  • Login
  • Logout
  • Members
  • Password Reset
  • Register
  • Register
  • Reset Password
  • User
  • 不只加密貨幣,談談那些你不知道的區塊鏈應用|動區新手村
  • 動區動趨 BlockTempo – 最有影響力的區塊鏈新聞媒體 (比特幣, 加密貨幣)
  • 所有文章
  • 最完整的「區塊鏈入門懶人包」|動區新手村
  • 服務條款 (Terms of Use)
  • 關於 BlockTempo
  • 隱私政策政策頁面 / Privacy Policy
動區動趨-最具影響力的區塊鏈新聞媒體
  • 所有文章
  • 搶先看
  • 🔥動區專題
  • 🔥Tempo 30 Award
  • 加密貨幣市場
    • 市場分析
    • 交易所
    • 投資分析
    • 創投
    • RootData
  • 區塊鏈商業應用
    • 金融市場
    • 銀行
    • 錢包
    • 支付
    • defi
    • 區塊鏈平台
    • 挖礦
    • 供應鏈
    • 遊戲
    • dApps
  • 技術
    • 比特幣
    • 以太坊
    • 分散式帳本技術
    • 其他幣別
    • 數據報告
      • 私人機構報告
      • 評級報告
  • 法規
    • 央行
    • 管制
    • 犯罪
    • 稅務
  • 區塊鏈新手教學
  • 人物專訪
    • 獨立觀點
  • 懶人包
    • 比特幣概念入門
    • 從零開始認識區塊鏈
    • 區塊鏈應用
  • 登入
No Result
View All Result
  • 所有文章
  • 搶先看
  • 🔥動區專題
  • 🔥Tempo 30 Award
  • 加密貨幣市場
    • 市場分析
    • 交易所
    • 投資分析
    • 創投
    • RootData
  • 區塊鏈商業應用
    • 金融市場
    • 銀行
    • 錢包
    • 支付
    • defi
    • 區塊鏈平台
    • 挖礦
    • 供應鏈
    • 遊戲
    • dApps
  • 技術
    • 比特幣
    • 以太坊
    • 分散式帳本技術
    • 其他幣別
    • 數據報告
      • 私人機構報告
      • 評級報告
  • 法規
    • 央行
    • 管制
    • 犯罪
    • 稅務
  • 區塊鏈新手教學
  • 人物專訪
    • 獨立觀點
  • 懶人包
    • 比特幣概念入門
    • 從零開始認識區塊鏈
    • 區塊鏈應用
  • 登入
No Result
View All Result
動區動趨-最具影響力的區塊鏈新聞媒體
No Result
View All Result
Home 區塊鏈商業應用 defi

10億美元危險了!DeFi超級明星「Harvest」遭遇閃電貸,Farm一小時暴跌60%

Jason Liu by Jason Liu
2020-10-26
in defi
A A
10億美元危險了!DeFi超級明星「Harvest」遭遇閃電貸,Farm一小時暴跌60%
260
SHARES
分享至Facebook分享至Twitter

DeFi 研究員 Chris Blec 上週六(24)發文警告,稱剛剛才在總鎖定價值(TVL)上突破 10 億美元的 Harvest Finance 可能隱藏著中心化風險,因為協議控制權完全掌握在一位匿名的私鑰管理人手上;而項目方的消極回應,更進一步刺激了社群對 Harvest Finance 的不安。(關注最新遭駭消息,請閱讀到本文最後段。)

本文目錄

  • 私鑰管理人身份成謎
  • 官方反應消極
  • 最新消息:Harvest Finance 遭駭
    • DeFi吸金騙局?耕收項目 UniCats 在合約嵌入惡意函式,誆走「20萬美元UNI」
    • 資安月報|DeFi 詐騙、跑路頻發!9 月安全事件共 33 起,危害程度評級 HIGH

 

DeFi 研究員 Chris Blec 指出,Harvest Finance 的協議治理權完全掌握在單一的以太坊地址,意味著誰手握私鑰,誰就可以自由操控這 10 億美元的 TVL;但是,項目方卻拒絕透露私鑰管理人身份,令人擔心是否又是一次退出騙局。

Harvest Finance 是 DeFi 流動性挖礦(Yield Farming)風潮下的又一新產物,TVL 自上週起迅速竄升,在短短一週內連翻了兩倍之多,甚至一度在 DeFi Pulse 的 TVL 排行榜上擠下 Aave、Compound、Synthetix 等知名協議,搶下第四名的寶座。

但是,就如同其他許多未經審計的 DeFi 協議一般,Harvest Finance 也隱藏著許多風險。

私鑰管理人身份成謎

在 Harvest Finance 的 TVL 闖破 10 億美元大關後,很快便宣布將要對池內資金執行遷徙動作,而這項消息也旋即引來了 Chris Blec 的警戒。在經過一番深入研究,Chris Blec 發現 Harvest Finance 不僅疑似刻意隱瞞不利的審計報告,還拒絕透露私鑰管理人的身份。

根據報告,Chris Blec 基於資金池的設計去質疑 Harvest Finance 的分散程度。他表示,對於每一個 DeFi 用戶而言,每當要核准智能合約接受存款的權限時,首先要問自己:「項目的分散程度如何?資金怎麼保管?有沒有管理員私鑰?如果有,私鑰可以做什麼?」

如果你在沒有這些答案的情況下投入存款,你就只是在賭博。

為了找出答案,Chris Blec 深入研究了 Harvest Finance 的白皮書內容。他發現,Harvest Finance 補充資料中顯示,智能合約將設有一個 12 小時的時間鎖(Timelock);但是,Harvest Finance 卻完全沒有披露任何有關私鑰管理權的資訊。

時間鎖是什麼?簡單來說,這是一種智能合約,可以對私鑰指令下的任何交易附加延遲時間。假如沒有時間鎖,管理員私鑰可以自由選擇是否執行任何操作,並且是立即執行的;有了時間鎖,用戶將可保有反悔的時間,隨時在私鑰指令執行前取出存款。

因此,在 Chris Blec 發現 Harvest Finance 隱瞞了私鑰資訊後,一股不安感頓時湧上心頭。

延伸閱讀:倒貨危機?「2,700 萬美元 Sushi」可隨管理者隨意使用,Nomi Chef:這有什麼問題嗎?

延伸閱讀:否認跑路,只為遷移!Sushi 創辦人套現 18,000 ETH,SUSHI 單日暴跌 70%

官方反應消極

Chris Blec 緊接著前往 Harvest Finance 官網上的安全性問題介面,找到了派盾(Peckshield)和 Haechi Labs 在 9 月發表的審計報告。令他詫異的是,Harvest Finance 不知是刻意或失誤,報告的 URL 網址竟然是錯誤的,疑似在阻止他人閱讀。

好在這沒有難倒 Chris Blec,簡單修改 URL 網址後,他成功閱讀到了報告。

糟糕的是,Peckshield 的報告內容似乎進一步印證了 Chris Blec 的擔憂。根據 Peckshield 報告,目前 Harvest Finance 的協議治理權完全掌握在一個外部帳戶(EOA)手上;也就是說,一個獨立的以太坊帳戶,掌握著鎖定在協議上的全部資金。

不是去中心化自治組織(DAO)、不是多重簽章錢包(multisig),是一個單一的以太坊地址;它可以是 Metamask 的帳戶、也可能是在 Ledger Nano S 上。重點是,我們根本不知道它在哪。這是 EOA 的本質,就只是一個基本的以太坊地址。

以下是 Peckshield 報告中附上的簡圖,指示了 Harvest Finance 開設的資金池狀況;可以注意到,無論是哪一個資金池,似乎就是全部掌握在單一地址手中。Chris Blec 表示,這無疑是 Peckshield 試著隱晦地在報告中發出警訊,目的是要盡可能地避免激怒到客戶。

8211 Harvest Finance 合約地址資訊掌控權取自Peckshield 報告 8211

與此同時,Haechi Labs 的報告內容同樣不容樂觀。根據報告,Haechi Labs 指出 Harvest Finance 項目方可以在不需要通過許可的情況下直接動用協議裡的資金;這個結果,驅使 Chris Blec 更加強烈地想造找出 Harvest Finance 的私鑰管理人到底是誰。

在了解到 Harvest Finance 的團隊成員全部都是匿名的之後,Chris Blec 轉往在 Harvest Finance 的 Discord 群組中詢問。豈料,不僅是 Chris Blec 的提問被直接無視,他還立刻在 Discord 和推特上被慘遭封鎖,足見 Harvest Finance 團隊的消極應對態度。

I just attempted to engage with an anonymous leader of @harvest_finance named "Bread for the People" in their Discord channel.

Here's how it went.

AVOID. pic.twitter.com/3jxIVRswcU

— Chris Blec (@ChrisBlec) October 23, 2020

事件爆發迄今,Harvest Finance 始終秉持著不正面回應的作法。舉例來說,在 Chris Blec  的貼文下方,Harvest Finance 僅強調他們已經對外聲明很多次,即該項目早已完成兩次審計,並預計為下一次的合約部署完成另外兩次審計作業。

但是,Harvest Finance 依然拒絕透露私鑰管理人的身份。

此外,在 Autism Capital 的貼文下方,Harvest Finance 同樣是一貫的迴避態度:

Harvest Finance 的任務很簡單,幫助人們獲得更高的 APY、為他們省下一些 Gas 費用。

Harvest's mission is very simple. Help people can get a bit higher APY, save them some gas. That's great, it's a net benefit to the world.

Yield farming has a lot of moving pieces. It's not a static system.

There's a 12 hour timelock.

— Harvest Finance (@harvest_finance) October 24, 2020

Harvest Finance 目前暴露出來的種種跡象,不免令人聯想到 DeFi 在近三個多月來不斷冒出的種種退出騙局。就如 Chris Blec  最後在文末總結的建議,直到 Harvest Finance 充分分散了私鑰功能以前,這可能都是一款「碰不得」的項目。

最新消息:Harvest Finance 遭駭

至本篇報導截稿前,Harvest Finance 正巧在今(26)日中午 12 時左右驚傳遭駭。

根據推特用戶 @devops199fan 的說法,Harvest Finance 稍早遭到了與先前 EMN 事件中類似的攻擊。總計,駭客利用閃電貸奪走了約 2,400 萬美元的資金,並歸還了其中的 250 萬美元給合約部署者。攻擊地址為 0x3811765A53c3188c24d412dAEC3f60fAAD5f119B。

此外,駭客已經透過 Curve Finance 將資金轉換為 renBTC,並已透過 Tornado 完混幣成混幣動作。

根據推特用戶 @Dogetoshi 的貼文,目前 Harvest Finance 的 Discord 群組已是群情激憤,從受害者的描述可以看到,此事件涉及到 USDT、USDC 等穩定幣和比特幣的資金池,在過去幾個小時內至少發生了 30 次以上的套利行為。

Harvest Discord right now. pic.twitter.com/GhkKYz4HgJ

— Steven (@Dogetoshi) October 26, 2020

根據 Uniswap 數據,駭客事件傳出後,Harvest Finance 的平台幣 $FARM 急遽下滑,從大約 230 美元上下大跌至 80 美元左右,跌幅超過 60% 以上。至截稿前,$FARM 暫報在 125.74 美元,波動依然相當劇烈。

8211 $FARM 價格變化取自Uniswap 8211

Harvest Finance 官方目前已出面回應,確認協議遭到駭客攻擊。根據官方說法,此次攻擊主要是透過在 Curve 的 Y 池造成穩定幣滑價,並反覆執行取款、存款等動作,取出 Harvest Finance 協議中的資金;官方已暫時將暴露在風險的資金轉移至金庫,並對外聲稱其他資金池暫無風險。

The economic attack was performed through the curve y pool, stretching the price of the stablecoins in Curve out of proportion and depositing and withdrawing a large amount of assets through harvest.

To protect users, we've pulled y pool and btc curve strategy funds to the vault

— Harvest Finance (@harvest_finance) October 26, 2020

如有後續消息,動區將持續為您更新。

📍相關報導📍

DeFi吸金騙局?耕收項目 UniCats 在合約嵌入惡意函式,誆走「20萬美元UNI」

資安月報|DeFi 詐騙、跑路頻發!9 月安全事件共 33 起,危害程度評級 HIGH


讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。

LINE 與 Messenger 不定期為大家服務

加入好友

加入好友

Tags: Defi


關於我們

動區動趨

為您帶來最即時最全面
區塊鏈世界脈動剖析
之動感新聞站

訂閱我們的最新消息

動區精選-為您整理一週間的國際動態

戰略夥伴

Foresight Ventures Foresight News

主題分類

  • 關於 BlockTempo

動區動趨 BlockTempo © All Rights Reserved.

No Result
View All Result
  • 所有文章
  • 搶先看
  • 市場脈動
  • 商業應用
  • 區塊鏈新手教學
  • 區塊鏈技術
  • 數據洞察
  • 政府法規
  • RootData
  • 登入

動區動趨 BlockTempo © All Rights Reserved.