攻击者通过Y池将17239234.653146 USDC兑换回USDT，结果是，由于无常损失效应的恢复，因此在Y池中获得了USDC的原始较低值。攻击者从而收回了17,230,747.185604 USDT。

　　攻击者从Harvest的USDC金库中提币，用所有fUSDC的股份交换回了50596877.367825 USDC。由于Y池内的USDC值下降，每股fUSDC的价格为0.98329837664 USDC。USDC完全由Harvest的USDC金库支付，完全不与Y池交互。如此进行一次，攻击者的净利润（不包括闪电贷费用）就是619408.812299 USDC，而攻击者在同一笔交易中重复了几次该过程。

　　在4分钟内针对USDC金库执行了17笔攻击交易后，攻击者以类似的方式对USDT金库重复该过程，从交易0x0fc6d2ca064fc841bc9b1c1fad1fbb97bcea5c9a1b2b66ef837f1227e06519a6开始。 他们在另外3分钟内完成了13笔针对USDT金库的攻击交易。

　　在UTC时间2020年10月26日 03:01:48 ，攻击者将13,000,000 USDC和11,000,000 USDT从攻击合约中转移至地址0x3811765a53c3188c24d412daec3f60faad5f119b。

　　攻击者随后又在0x25119cd54a4562aa427d9770af383512f9cb5e8e4d17232ad96b69dc293a3510这笔交易中将部分资金转移回Harvest部署者地址，涉及1761898.396474 USDC和718,914.048541 USDT。

　　Harvest Finance在评估了这次攻击并重构攻击过程后，立即从共享池中取出了所有资金，这包括DAI、USDC、USDT、TUSD、WBTC以及renBTC。这些资金目前都在金库中，不再受到市场操纵的影响。这次攻击并没有涉及DAI、TUSD、WBTC以及renBTC，这些金库的存储用户也没有受到影响。

　　攻击发生后，USDC金库的股份价格从0.980007下跌至0.834953 USDC，而USDT金库的股份价格则从0.978874跌至0.844812 USDT，两者分别下跌了13.8%和13.7%。用户损失的价值大约为3380万美元，相当于攻击前协议中锁定总价值的3.2%。

　　与攻击有关的事务日志可观察攻击者的地址0xf224ab004461540778a914ea397c589b677e27b。

　　下一步

　　Harvest Finance协议有一个定期的每周计划表，它需要保持所有农民的持续收益。根据2020年10月27日的排放计划，Harvest Finance团队宣布铸造19637.46枚FARM代币。而社区要求的，原定于10月27日发布的智能合约改进计划将被推迟，以便在攻击背景下再次评估其安全性。金库中使用共享池的资金，将继续从策略中提取，直到此类攻击的缓解措施到位（见下一节）。这些措施，以及为受影响的用户提供补救的基础设施，将是团队下一个开发重点。我们对这一工程错误负责，并确保此类事件在未来得到缓解。

　　未来可能的缓解措施

　　Harvest Finance团队致力于评估可能的缓解策略，并在即将发布的版本中实施这些策略以及任何必要的用户体验更改。我们将利用新金库的可升级特性，以及基于时间锁（timelock）的投资策略替换，并在发布前很好地与社区沟通缓解策略。 (责任编辑：admin)