Kolejny hack DeFi na 24 mln dolarów

Miał miejsce kolejny atak hakerski w sektorze DeFi. Tym razem ofiarą padł protokół Harvest Finance, a złodziejom udało się skraść 24 mln dolarów. Atak pokazał wrażliwość całego ekosystemu zdecentralizowanych finansów. Harvest Finance to protokół, który zapewnia płynność innym pulom DeFi i w ten sposób zdobywa zyski dla swoich dostawców płynności (LP). Hakerzy w celu przeprowadzenia ataku wykorzystali właśnie ten mechanizm, w puli Y platformy Curve.

The economic attack was performed through the curve y pool, stretching the price of the stablecoins in Curve out of proportion and depositing and withdrawing a large amount of assets through harvest.

To protect users, we've pulled y pool and btc curve strategy funds to the vault — Harvest Finance (@harvest_finance) October 26, 2020

Manipulacja arbitrażowa dokonana za pomocą 50 mln pożyczki flash, pozwoliła napastnikom naciągnąć cenę stablecoinów w puli Y Curve. Następnie hakerzy użyli stabilnych monet i puli BTC na Harvest Finance, aby uzyskać większą ilość stablecoinów, w zamian za zbyt drogie tokeny na Curve.

24 mln dolarów w 7 minut

W niecałe siedem minut napastnicy wyciągnęli z Harvest Finance 24 miliony dolarów płynności. Podczas ataku całkowity wolumen obrotu USDT i USDC na platformie Curve wzrósł z 10 milionów dolarów do ponad 2,7 miliarda dolarów. Atak został szczegółowo omówiony w artykule naukowym stworzonym przez naukowców z Imperial College London (ICL). Przedstawiono w nim sposoby wykorzystania pożyczek flash do manipulowania cenami par tokenów i wyciągania płynności z puli DeFi. Istnieje duże podobieństwo pomiędzy hackiem Harvest Finance, a poprzednim atakiem na projekt DeFi - Eminence. Hakerzy w obu przypadkach odesłali część skradzionych środków. Podczas gdy w przypadku Eminence było to 50% całkowitej kwoty, tym razem złodzieje oddali tylko 10%.