今天上午，DeFi聚合协议HarvestFinance针对闪电贷攻击发布声明。

根据公告，本次攻击损失共计3380万美元（此前媒体报道是400万美元），约占攻击发生前协议中锁仓总价值的3.2％；攻击者退回的247万多美元，将根据快照按比例分配给受影响的储户；未来HarvestFinance将对存款实行“提交-披露”机制，减少闪电贷攻击，使用预言机来确定资产价格，并提高存款arb配置(当前阈值设置为3%）。

昨天上午10点，推特用户爆料称，攻击者通过闪电贷依靠20ETH的成本（手续费）在Curve协议y池进行套利获得无常损失，而Curve.fiY池正是Harvest金库投资的地方。攻击者随后将资金转换为renBTC并套现，Harvest也因此损失数百万美元，不少参与者称损失了15%～20%以上的资金。

受此影响，HarvestFinance治理代币FARM价格从237美元一度暴跌至78美元，最大跌幅接近70%；截至今天发稿，FARM价格回升至110美元左右；Harvest协议锁仓量，也从11.1亿美元量已骤降至4.5亿美元，最大跌幅60%。

不过，Curve协议却并未受到影响，其治理代币CRV价格在过去24小时不断攀升，一度升至0.44USDT，最大涨幅接近30%。

（1）事件回顾：闪电贷套利

HarvestFinance，是一个DeFi收益聚合器，其主要功能是向其它DeFi池提供流动性来为自己的流动性提供者赚取收益。在攻击发生前，HarvestFinance主要在Curve协议y池提供流动性。

攻击者是如何实现攻击，完成套利的？

先为大家捋一下本次攻击的逻辑，简单来说分三步，即「借贷-正向操作价格-逆向操纵价格」：

攻击者通过闪电贷借出大量USDT以及USDC；

在Y池将大量USDT兑换成USDC，导致USDC价格升高；由于Harvest池内USDC价格参考Y池，也跟着上涨；此时再用USDC在Harvest池兑换更多的fUSDC；

在Y池对上述过程逆向操作，将大量USDC兑换成USDT，导致USDC价格降低；此时Harvest池内USDC价格也跟着下降；再用fUSDC可以兑换出比原来更多的USDC，完成套利。

当然，为了使得链上交易能在极短的时间内进行，因此每笔交易都给足了手续费。

HarvestFinance公告介绍了完整的攻击链条：

通过以太坊匿名转账平台Tornado.cash转入20ETH作为后续攻击手续费，攻击者钱包地址是0xf224ab004461540778a914ea397c589b677e27b，并部署了一个攻击合约0xc6028a9fa486f52efd2b95b949ac630d287ce0af。

通过UniswapV2闪电贷借出巨额USDT（18,308,555.417594）与USDC（5000万），注入攻击合约中；

（注释：闪电贷要求借款和还款在"一个交易"中完成，否则就撤回借贷资金，攻击者正是利用了这段空白时间，完成了套利交易；闪电贷套利也是目前较为普遍的一种方式。）

该合约在Curve协议Y池内通过互换协议将17222012.640506USDT兑换成了USDC。互换的影响是，由于其它资产发生了无常损失，Y池内的USDC价值升高，获得了17216703.208672USDC；此时，攻击者加上之前闪电贷款的本金，攻击持有约6721万USDC、108.65万的USDT。 (责任编辑：admin)