Home > Harvest Finance gibt “technischen Fehler” zu, der zu 24 Millionen Dollar Raub geführt hat

Harvest Finance gibt “technischen Fehler” zu, der zu 24 Millionen Dollar Raub geführt hat

27. Oktober 2020 By Lacie-Mae Durham

Der Untersuchungsbericht versprach, die betroffenen Nutzer würden entschädigt

Harvest Finance ist ein DeFi Yield Aggregator, der es den Nutzern ermöglicht, durch die Umsetzung von Investitionsstrategien für DeFi Projekte maximale Erträge zu erzielen. Allerdings ist Yield Farming noch experimentell und Smart Contracts bergen Risiken, wie sich gestern gezeigt hat.

Der Hack fand am 26. Oktober um 02:53:31 UTC statt, als der Angreifer insgesamt 24 Millionen Dollar aus den USDC- und USDT-Tresoren von Harvest Finance stahl, indem er den Wert von Assets innerhalb des Y Pools von Curve.fi manipulierte. Der Angreifer machte sich eine Arbitrage und einen impermanenten Verlust mithilfe eines großen Blitzdarlehens zunutze.

Der Untersuchungsbericht von Harvest Finance, der am späten Abend veröffentlicht wurde, beschreibt detailliert, wie der Angreifer Markthandel mit einem großen Volumen nutzte, um den Aktienkurs von fUSDC um etwa 1% zu senken. Da die Arbitragekontrolle innerhalb der Harvest Strategie jedoch die 3% Schwelle nicht überschritt, wurde die Transaktion nicht rückgängig gemacht.

Nach 17 Angriffstransaktionen auf den USDC Vault wiederholte der Angreifer den Vorgang für den USDT Vault, was insgesamt sieben Minuten dauerte, obwohl er dann fast 2,5 Millionen Dollar an den Harvest Deployer zurückschickte.

Der Hack führte dazu, dass der Aktienkurs des USDC Vault um 13,8% und der des USDT Vault um 13,7% fiel. Harvest Finance schätzte einen Verlust von 3,2% des im Protokoll festgehaltenen Gesamtvolumens und die Daten von CoinGecko zeigen, dass FARM, der einheimische Token von Harvest Finance, in den drei Stunden nach dem Angriff um 58% von 232,78 Dollar auf 96,90 Dollar fiel.

Als Reaktion darauf hat Harvest Finance die Verantwortung für den technischen Fehler übernommen, der den Angriff ermöglichte, und macht die Schadensbehebung für betroffene Anwender zur obersten Priorität. Sie verschoben auch die Smart Contract Verbesserungen, die heute veröffentlicht werden sollten, bis deren Sicherheit neu geprüft worden ist.

Das Team prüft nun Minderungsstrategien für die Zukunft, wie z.B. eine strengere Schwelle für die Arbitrageprüfung – mithilfe von Oracles zur Bestimmung des Asset Preises – und die Einführung eines Commit and Reveal Mechanismus für Einzahlungen, was bedeuten würde, dass Nutzer nicht mehr Einzahlungen und Abhebungen innerhalb einer einzigen Transaktion vornehmen könnten.

Harvest Finance gab an, kein Interesse daran zu haben, den Angreifer zu doxxen, bot aber eine Belohnung von 100.000 Dollar für die erste Person oder das erste Team an, die bei der Rückgabe der Gelder behilflich ist, oder aber eine Belohnung von 400.000 Dollar, wenn die Rückgabe innerhalb der nächsten 36 Stunden erfolgt.

Einige in der Kryptocommunity glauben jedoch, dass die Entwickler von Harvest Finance tatsächlich an dem Angriff beteiligt sein könnten. Der DeFi Analyst Chris Blec wies am Sonntag darauf hin, dass Harvest Finance von einem anonymen Team mit einem Admin Key betrieben wurde, der möglicherweise dazu benutzt werden konnte, Gelder abzuzweigen.