10月26日，黑客利用闪电贷从DeFi协议Harvest的金库中盗走了2400万美元资金，而根据Harvest官方的分析报告显示，闪电贷只是这次攻击的一环，具体还涉及到了DeFi协议的无常损失问题，尽管攻击者事后归还了大约250万美元的资金，但Harvest用户面临的损失依旧超过了2000万美元（具体约为3380万美元），对此，Harvest官方发出了悬赏，并请求黑客归还剩余的资金。

　　总结：

　　我们对这一工程错误负责，并确保此类事件在未来得到缓解；

　　为受影响的用户制定补救计划是我们在未来一周的首要任务；

　　我们谦卑地请求攻击者将资金退还给部署者，以便可以将它们分配给受影响的用户；

　　发生了什么？

　　UTC时间10月26日2:53:31，一名攻击者从Harvest Finance的USDC和USDT金库中窃取了资金。攻击者利用了影响Curve.fi Y池中个人资产的套利和无常损失进行了攻击，而Curve.fi Y池正是Harvest金库投资的地方。协议的以下机制允许执行此类攻击：

　　Harvest的投资策略计算投资于基础实时协议资产的实时价值。金库使用资产的价值来计算将要发给资金存放用户的股份数量。当用户从金库中取出资金时，它们还使用资产的价值来计算用户退出时应收到的支出。

　　一些金库（包括USDC和USDT）中的资产存放在底层DeFi协议的共享池中（例如Curve.fi的Y池）。这些资产池中的资产会受到无常损失、套利和滑点等市场影响。因此，它们的价值可通过大量的市场交易来操纵。

　　攻击者反复利用Curve.fi Y池中USDC和USDT的无常损失影响。他们利用操纵的资产价值将资金存入Harvest的金库，以一个对其有益的价格获得金库股份，然后以正常的价格退出金库，从而产生利润。以下是这次攻击事件的跟踪链：

　　攻击者的钱包地址是0xf224ab004461540778a914ea397c589b677e27b，其部署了一个合约0xc6028a9fa486f52efd2b95b949ac630d287ce0af，通过该合约，他们于UTC时间2020年10月26日02:53:31 执行了攻击。而进行攻击的10 ETH是通过0x4b7b9e387a79289720a0226f695913d1d11dbdc681b7218a432136cc089363c4这笔Tornado交易来隐藏来源的。

　　攻击本身在0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877这笔交易中发起。

　　攻击者从Uniswap获得大量USDT（18,308,555.417594）以及USDC（50,000,000），以注入攻击合约中。

　　该合约通过Y池的互换交易将17,222,012.640506 USDT兑换成了USDC。互换的影响是，由于其它资产发生了无常损失，Y池内的USDC价值较高。这个智能合约获得的金额大致相当于17,216,703.208672 USDC；

　　攻击者将49,977,468.555526 USDC存入Harvest的USDC金库，以每股0.97126080216 USDC的价格接收51,456,280.788906 fUSDC。在攻击之前，每股fUSDC的价格为0.980007 USDC，因此攻击者将股份价值降低了大约1%。Harvest策略内部的套利检查没有超过3%的阈值，因此没有还原这笔交易。 (责任编辑：admin)