攻击者通过Y池将17239234.653146 USDC兑换回USDT,结果是,由于无常损失效应的恢复,因此在Y池中获得了USDC的原始较低值。攻击者从而收回了17,230,747.185604 USDT。 攻击者从Harvest的USDC金库中提币,用所有fUSDC的股份交换回了50596877.367825 USDC。由于Y池内的USDC值下降,每股fUSDC的价格为0.98329837664 USDC。USDC完全由Harvest的USDC金库支付,完全不与Y池交互。如此进行一次,攻击者的净利润(不包括闪电贷费用)就是619408.812299 USDC,而攻击者在同一笔交易中重复了几次该过程。 在4分钟内针对USDC金库执行了17笔攻击交易后,攻击者以类似的方式对USDT金库重复该过程,从交易0x0fc6d2ca064fc841bc9b1c1fad1fbb97bcea5c9a1b2b66ef837f1227e06519a6开始。 他们在另外3分钟内完成了13笔针对USDT金库的攻击交易。 在UTC时间2020年10月26日 03:01:48 ,攻击者将13,000,000 USDC和11,000,000 USDT从攻击合约中转移至地址0x3811765a53c3188c24d412daec3f60faad5f119b。 攻击者随后又在0x25119cd54a4562aa427d9770af383512f9cb5e8e4d17232ad96b69dc293a3510这笔交易中将部分资金转移回Harvest部署者地址,涉及1761898.396474 USDC和718,914.048541 USDT。 Harvest Finance在评估了这次攻击并重构攻击过程后,立即从共享池中取出了所有资金,这包括DAI、USDC、USDT、TUSD、WBTC以及renBTC。这些资金目前都在金库中,不再受到市场操纵的影响。这次攻击并没有涉及DAI、TUSD、WBTC以及renBTC,这些金库的存储用户也没有受到影响。 攻击发生后,USDC金库的股份价格从0.980007下跌至0.834953 USDC,而USDT金库的股份价格则从0.978874跌至0.844812 USDT,两者分别下跌了13.8%和13.7%。用户损失的价值大约为3380万美元,相当于攻击前协议中锁定总价值的3.2%。 与攻击有关的事务日志可观察攻击者的地址0xf224ab004461540778a914ea397c589b677e27b。 下一步 Harvest Finance协议有一个定期的每周计划表,它需要保持所有农民的持续收益。根据2020年10月27日的排放计划,Harvest Finance团队宣布铸造19637.46枚FARM代币。而社区要求的,原定于10月27日发布的智能合约改进计划将被推迟,以便在攻击背景下再次评估其安全性。金库中使用共享池的资金,将继续从策略中提取,直到此类攻击的缓解措施到位(见下一节)。这些措施,以及为受影响的用户提供补救的基础设施,将是团队下一个开发重点。我们对这一工程错误负责,并确保此类事件在未来得到缓解。 未来可能的缓解措施 Harvest Finance团队致力于评估可能的缓解策略,并在即将发布的版本中实施这些策略以及任何必要的用户体验更改。我们将利用新金库的可升级特性,以及基于时间锁(timelock)的投资策略替换,并在发布前很好地与社区沟通缓解策略。 (责任编辑:admin) |