可能的修复技术包括以下这些选项：

　　实现存款的提交和显示机制。这将消除在单笔交易中执行存款和取款的能力，因此，基于闪电贷的攻击就变为不可行了。就用户而言，这意味着在存款期间，他们的代币将在一次交易中转移到Harvest。用户随后会在另一笔交易中claim他们的股份，最好是在不同的区块中。这将构成用户体验的变化，并可能导致更高，但仍可接受的gas成本。

　　一个更严格的配置现有存款arb的检查策略。当前的阈值设置为3%，因此不足以保护金库免受此类攻击。一个更严格的阈值可能使这种攻击在经济上不可行，然而，在自然无常损失效应的情况下，它可能会限制存款，周日的事件超过了7分钟，这表明，这一措施不够有效，因此应被视为对其他措施的补充。

　　基础资产的提取。当用户存入使用共享池（如Y池）的金库时，他们会有效地将其单个资产交换为池资产（如yCurve）。如果用户只提取基础资产，他们就可以根据当前的市场状况将其交易为资产组合。如果市场受到操纵，交易也会受到这种操纵，这将阻止攻击实体产生利润。从普通用户的角度来看，提出yCRV之后可以在单独的交易中转换为稳定币。虽然这需要进行UX方面的改变，但它可能有利于协议。而这种方法的缺点是，它将金库提取机制与当前正在使用的策略绑定在一起：如果一个策略切换到另一个不使用共享基础池的策略，或者使用不同的池，则提取所产生的资产也会发生变化。

　　使用预言机来确定资产价格。虽然一个近似的资产价格可有效地从外部预言机（由Chainlink或Maker提供）中确定，但是它与实际股份价格的联系非常松散。如果底层DeFi协议内的资产价值与预言机报价不同，金库将面临自由套利和闪电贷攻击。这不是Harvest的解决方案，但是，在系统设计和可能的缓解策略中，我们将考虑使用预言机。

　　针对丢失USDC和USDT资金用户的补救方法

　　通过快照和MerkleDistributor分发攻击者已退还的资金，我们与帮助创建这些工具的开发人员联系，并致力于构建可为受影响的用户提供补救措施的基础架构。分配资金是当务之急，一旦工具被构建出来后，我们将会发布更多关于资金分发的细节信息。

　　其他补救方法将在治理中进行分析和表决。

　　攻击者信息和赏金

　　攻击者使用了新生成的以太坊地址0xf224ab004461540778a914ea397c589b677e27bb来执行这次攻击；

　　Tornado交易0x4b7b9e387a79289720a0226f695913d1d11dbdc681b7218a432136cc089363c4；

　　攻击在0x35F8D2F572FCEAAC9288E5D46211780EF2694786992A8C3F6D02612277B0877这笔交易发起；

　　攻击者通过REN协议将比特币传输到以下地址： (责任编辑：admin)