攻击者将49,977,468.555526USDC存入Harvest的USDC金库，按照单价fUSDC/USDC=0.97126080216，兑换了51,456,280.788906fUSDC。攻击前单价为0.980007，现在单价0.9712环比下降大约1%，并没有触发Harvest套利策略设置的3%红线，因此交易有效且成功进行，没有被强制恢复。

攻击者通过y池，将剩余的17239234.653146USDC兑换回17,230,747.185604USDT；由于无常损失效应的恢复，此时Y池中USDC价值下降，攻击者获得17,230,747.185604USDT。

攻击者从Harvest的USDC金库中提币，由于此时Y池内的USDC价值下降，fUSDC/USDC单价升高至0.98329837664，攻击者将此前全部的fUSDC（约5145万）的股份交换回了50596877.367825USDC。并且，USDC完全由Harvest的USDC金库支付，完全不与Y池交互，也就不会影响Y池内USDC价格。

经过这么一次套利，攻击者的净利润（不包括闪电贷借贷费用）为619408.812299USDC。而后，攻击者同一笔交易中重复了几次该过程。

在4分钟内，攻击者针对USDC金库执行了17笔攻击交易后，而后有用类似的方式对USDT金库发起攻击，并在3分钟内完成了13笔攻击交易。

北京时间10月26日11:01:48，攻击者将13,000,000USDC和11,000,000USDT从攻击合约中转移至地址0x3811765a53c3188c24d412daec3f60faad5f119b。

事件曝光后，攻击者向Harvest返还了部分资金，共计1761898.396474USDC和718,914.048541USDT。

攻击发生后，不少人在Harvest推特下留言称，损失了15%-20%的资金。众多KOL也建议用户先将资金从Harvest提出，以确保资金安全。

根据Harvest统计，用户损失情况不容乐观：USDC金库单价从0.980007跌至0.834953，USDT金库单价从0.978874跌至0.844812，跌幅分别为13.8％和13.7％；总计损失的价值约为3380万美元，约占攻击发生前协议中锁仓总价值的3.2％。

（2）官方态度：补救之外，攻击者还钱就行

事故发生后，Harvest团队发文表示，为了保护用户，已经采取措施阻止向稳定币和BTC金库存款，现有存款将继续赚取FARM。

根据今天上午公告，Harvest已经从共享池中撤出所有资金，包括DAI、USDC、USDT、TUSD以及WBTC和renBTC。这些资金目前存放在金库中，不会受到进一步的市场操纵。另外，这次攻击没有涉及到DAI、TUSD、WBTC和renBTC，这些金库的储户没有受到影响。

另外，关于用户补偿方面，Harvest表示，攻击者退回的247万多美元，将通过快照按比例分配给受影响的储户,其他补救方法将在治理中进行分析和表决。

此次事故，也暴露了Harvest系统机制所存在的弊病。

慢雾安全团队分析认为，此次攻击主要是fToken（fUSDC、fUSDT等）在铸币时采用的是Curvey池中的报价，导致攻击者可以通过巨额兑换操控预言机的价格来控制fToken的铸币数量。

针对报价问题，Harvest下一步将使用预言机来确定资产价格。 (责任编辑：admin)