Harvest Finance aangevallen, meer dan $20 miljoen verloren, FARM 50% gedaald
Een ander gedecentraliseerd financieringsproject (DeFi), Harvest Finance, heeft te maken gehad met een flashloan-aanval die zeven minuten heeft geduurd, waarbij er naar verluidt ten minste 24 miljoen dollar is gestolen.
De DeFi-kant van de Cryptoverse is de afgelopen zes uur met velen op scherp geweest en mensen worden opgeroepen om geld op te nemen van Harvest Finance, omdat het nieuws begon te verspreiden dat er meer dan 24 miljoen dollar uit de pools van het project is gehaald.
24m in profits. https://t.co/2d05Lfhx8Q pic.twitter.com/N5BkJ8A7hg
— jiecut (@jiecut42) October 26, 2020
Het team achter het Harvest Finance (FARM)-project bevestigde de aanval enkele uren geleden,
door te zeggen dat "the economic attack was performed through the curve y pool, stretching the price of the stablecoins in Curve out of proportion and depositing and withdrawing a large amount of assets through harvest."
Volgens deze Twitter-thread werkt het team aan "het verzachten van de economische aanval op de Stablecoin- en BTC-pools", waarbij het geld van beide wordt teruggetrokken naar de kluis, niet ingezet in een strategie, eraan toevoegend dat er geen andere pools zijn getroffen. Ze voegden er aan toe dat ze stortingen voor stablecoin en bitcoin (BTC) tijdelijk hebben uitgezet.
De aanvaller gaf 2,48 miljoen dollar van het gestolen geld terug aan de implementator, in
tether (USDT) en USD coin (USDC), zo valt te lezen in de thread. "This will be distributed to the affected depositors pro-rata using a snapshot," zegt het team.
Wat betreft de manier waarop de aanval werd uitgevoerd, lijkt deze volgens deze eerste rapporten vergelijkbaar met de andere flitsaanvallen waarover we eerder rapporteerden.
Like other arbitrage economic attacks, this one originated with a large flashloan, and manipulated prices on one money lego (curve y pool) to drain another money lego (fUSDT, fUSDC), many times.
— Harvest Finance (@harvest_finance) October 26, 2020
The attacker then converted the funds to renBTC and exited to BTC
Volgens het team was er geen tijd om te reageren, aangezien de aanval "in 7 minuten van begin tot eind" werd uitgevoerd. Ze leverden de portemonnee van deze aanvaller die hun exit via renBTC maakte, evenals hun BTC-adressen.
Ondertussen is de prijs van FARM in de afgelopen 24 uur met bijna 52% gedaald tot $114 (09:10 UTC).
Bovendien had Harvest Finance tot op de dag van vandaag meer dan 1 miljard dollar in totaal op slot gezet, zoals blijkt uit DeFi Pulse. Op 26 oktober, tot het moment van schrijven, daalde deze TVL met meer dan 45% tot de huidige $ 572,5 miljoen.
En hoewel het team veel supporters heeft, zijn er klachten van een aantal mensen dat ze "proactief gebruikers uit onenigheid hebben geschopt vanwege het stellen van vragen". Anderen zijn aan het bespreken of dit een inside-job zou kunnen zijn. Onderzoeker en analist Chris Blec, die onlangs beweerde dat de deposito’s van Harvest Finance worden beschermd door één sleutel, die wordt gehouden door een anoniem persoon, die alle fondsen kan aftappen, bood een andere, gerelateerde theorie aan.
Theoretical inside job psyop:
— Chris Blec (@ChrisBlec) October 26, 2020
Send most hacked funds to a new account, but "return" a small amount back into team's public account so that they can offer a gesture of good faith to users.
Users will think that team is honest since they're not running off w/ "returned" funds.
Ondertussen hebben anderen, zoals ‘PancakeBunnyFin’, melding gemaakt van een vermeende implementatiebug en een ontwerpfout in de projectcode.
Het team voegde eraan toe dat er morgen een post mortem zou worden vrijgegeven. Bovendien zeiden ze dat de aanvaller "bekend is in de cryptogemeenschap" op basis van de informatie die ze hebben verzameld, en dat ze niet geïnteresseerd zijn om deze persoon te verdoven.
"You’ve proven your point," schrijven ze naar de aanvaller, "if you can return the funds to the users, it would be greatly appreciated by the community, including many bystanders watching DeFi from afar."
