币非凡 - 区块链|交易所导航 www.bifeifan.com
当前位置:网站首页 > 新闻 > 正文

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险

admin 2020-10-26 2030 浏览

10月26日消息,锁定资金量超10亿美元DeFi项目Harvest Finance被曝遭黑客攻击,据称已造成大约2400万美元的损失,很多参与者自称损失了15%以上的资金,受此消息影响,Harvest的治理代币FARM一度暴跌70%以上。

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险 存在 重大 知名 损失 项目 ACCE交易平台 ACCE ACCE历史价格表 新闻  第1张

而Harvest项目方则发布推文解释称:

“这次攻击和其他套利经济攻击一样,缘于一笔大额的闪电贷,攻击者多次操纵curve y池以提取fUSDT和fUSDC资金,随后将资金转换成renBTC,并退出为BTC。”

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险 存在 重大 知名 损失 项目 ACCE交易平台 ACCE ACCE历史价格表 新闻  第2张

此外,Harvest项目方还表示:

“我们正致力于减轻稳定币和BTC池的攻击,一旦有更多细节可用,我们将会进行实时更新。”

而据DeFi之道提供的最新消息显示,黑客以USDT和USDC的形式归还了大约247.8万美元的资金,约占到被盗资金量的10%,而Harvest项目方则表示随后会将这些资金归还给受影响的用户

DeFi社区炸锅,知名KOL提醒用户应远离Harvest

目前,关于这次Harvest攻击的具体信息依旧非常有限,而DeFi社区的知名参与者则发出提醒称,Harvest用户应尽快将其资金从该项目的合约中提取出来。

截至发稿时,Harvest合约锁定的资金已骤降至5.9亿美元,较24小时之前下滑42.41%。

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险 存在 重大 知名 损失 项目 ACCE交易平台 ACCE ACCE历史价格表 新闻  第3张

而在这次攻击发生的前一天,DeFi观察者Chris Blec揭示了Harvest项目所存在的巨大风险,其提到称,Harvest项目合约所锁定的10多亿美元资金,完全受匿名开发者的控制,并且开发团队存在刻意隐瞒这一事实的嫌疑

以下是译文内容:

DeFi的发展太快,要跟上它的节奏实在太难,即使是我也是如此。

但这并不意味着我们无法保证安全,并且我们不必成为开发者就可以做到这一点。

在这篇文章中,我将分享自己发现Harvest Finance存在高危管理密钥风险的步骤,而这一事实危及到了用户的资金。

就在昨天,当我查看DeFi Pulse,并看到排行榜中排名第四的项目Harvest Finance时,其锁定的资金量已超过了10亿美元,但我发现自己对这个项目并不了解。

我第一次听说Harvest Finance,是他们为许多Gitcoin Grants参与者捐款50,000美元,当时其宣布这一消息时,我确实有关注到它。

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险 存在 重大 知名 损失 项目 ACCE交易平台 ACCE ACCE历史价格表 新闻  第4张

两天前,我突然注意到一条关于Harvest锁定资金量突破10亿美元的推文。

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险 存在 重大 知名 损失 项目 ACCE交易平台 ACCE ACCE历史价格表 新闻  第5张

看到这一点,我记下了要检查的内容。Harvest是目前市场上众多的收益农耕(yield farming)项目之一,我还没有时间去研究每一个,但是突破10亿美元的项目,无疑会让我产生兴趣。

我的第一站就是看他们的网站,找到它并不难,他们的官方Twitter介绍里就有链接。

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险 存在 重大 知名 损失 项目 ACCE交易平台 ACCE ACCE历史价格表 新闻  第6张

这是一个典型的收益农耕用户界面,在点击了一段时间后,我发现他们接受了多个代币存款,包括Uniswap LP代币,我开始想知道,这个项目的去中心化程度到底有多高。

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险 存在 重大 知名 损失 项目 ACCE交易平台 ACCE ACCE历史价格表 新闻  第7张

这一部分实际上非常重要,因为很少有DeFi用户会这么干。任何时候,当一个智能合约接受存款时,你首先要问的问题是“这个产品的去中心化程度如何?资金是如何被持有的?有管理密钥吗?如果有的话,它能够做什么?

一旦这些问题出现在你的脑海中,那你就需要在存款之前得到答案。如果你在没有答案的情况下就存款,那你就是在赌博。

我开始点击他们的FAQ和Wiki标签,直到找到一些线索。首先,我看到Harvest的“技术资料”里提到了时间锁(timelock)。

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险 存在 重大 知名 损失 项目 ACCE交易平台 ACCE ACCE历史价格表 新闻  第8张

如你所见,在“技术资料”中没有提及关于管理密钥的其他内容。

什么是时间锁(timelock)?它是一种智能合约,它为以太坊管理密钥调用的任何交易添加延迟,从而让用户有时间检查交易,并及时取出自己的资金。

也就是说,如果没有某种密钥,那就根本用不到时间锁(timelock)

所以当我看到时间锁(timelock)这个词,而技术资料中没有提及管理密钥或它能够做什么时,我知道我必须更深入地调查这个项目。

在他们的Wiki页面上,我发现了一个名为“Harvest Security”的链接。通常,当你在DeFi产品网站上看到一个叫做“Security”的页面时,你一定会找到一些审计报告。而我确实也看到了。

Harvest Finance在其网站上提供了两份审计报告,这两项审计都是在9月份完成的,分别由知名的安全公司Peckshield和Haechi Labs所提供。

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险 存在 重大 知名 损失 项目 ACCE交易平台 ACCE ACCE历史价格表 新闻  第9张

首先,我点击Peckshield审计的链接,然后我看到的是这个:

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险 存在 重大 知名 损失 项目 ACCE交易平台 ACCE ACCE历史价格表 新闻  第10张

显然,这不是什么好事。

我只花了3秒钟就注意到URL是不正确的,以及“https://github.com…” 之前的所有内容都应被删除。

继续之前,让我问你,作为一名非开发人员,你会在这里停下来放弃吗? 还是说,你会花点时间查看URL并尝试找出问题所在?

我不知道这是否是Harvest团队无意犯的错误,还是其故意阻止他人查看审计报告的一种方式(因为该错误在两份审计报告中都有被提及)。但是,我确实知道,用户必须要勤奋地寻找他们需要的信息,以作出明智的决定-即使这些信息被隐藏了起来!

所以,我修改了URL,并得到了Peckshield的实际审计报告:https://github.com/harvest-finance/harvest/blob/master/audits/PeckShield-Harvest.pdf

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险 存在 重大 知名 损失 项目 ACCE交易平台 ACCE ACCE历史价格表 新闻  第11张

看起来很吓人,不是吗?

好吧,不一定如此,你无需成为开发者即可查看审计报告,并获得一些非常重要的,有关智能合约系统的线索。

打开审计报告时,我要做的第一件事,就是搜索提及管理密钥(admin key)或“治理”(governance)的内容。

这很容易就能找到。

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险 存在 重大 知名 损失 项目 ACCE交易平台 ACCE ACCE历史价格表 新闻  第12张

让我们看第42页的内容,如你所见,Peckshield使用了通俗易懂的英语,其向读者表明,Harvest项目的治理职责高度中心化且非常不稳定。

“ [治理]当前由一个EOA账户所控制,这引起了社区的必要关注。”

简单说,Harvest项目的资金,完全是由一个单一的以太坊账户所控制的,它并不涉及什么DAO,也没有多重签名。

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险 存在 重大 知名 损失 项目 ACCE交易平台 ACCE ACCE历史价格表 新闻  第13张

在审核结果中,Peckshield给出了一个表,其中所有的资金都是由同一个地址所控制

阅读审计报告时,请务必记住,项目方通常要为审计公司支付费用,而当你在审计报告中看到类似这种表时,实际上代表审计公司在通知你,该项目实际存在一些非常真实的危险,审计公司希望在不完全激怒客户的情况下尽可能地诚实

接下来,查看Haechi Labs的审计报告:https://github.com/harvest-finance/harvest/blob/master/audits/Haechi-Harvest.pdf

我再次扫描了目录,然后看到了这个重要的提醒:

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险 存在 重大 知名 损失 项目 ACCE交易平台 ACCE ACCE历史价格表 新闻  第14张

让我们再仔细看看。

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险 存在 重大 知名 损失 项目 ACCE交易平台 ACCE ACCE历史价格表 新闻  第15张

这意味着,这些智能合约中所持有的10亿美元资金,开发者可随时将它们转移走。

管理密钥对于DeFi来说并不是什么新现象,而且Harvest Finance并不是唯一使用它的项目。但是,对于一个掌握10亿美金巨额资金的项目而言,管理密钥的存在是令人感到害怕的。

因此,我问自己的下一个问题是:

“是谁拥有这个功能非常强大的管理密钥?让我们和那个人谈谈。”

我回到了Harvest Finance网站和他们的Wiki页面,然后找到了“常见问题”部分内容,这给了我答案。

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险 存在 重大 知名 损失 项目 ACCE交易平台 ACCE ACCE历史价格表 新闻  第16张

不,上帝,请不要告诉我,这个掌握着11亿美元资金管理密钥的人竟然是一个匿名开发者

上帝:对不起,这是事实。

该死的。

这个事实让我感到震惊,10亿美元由一个管理密钥控制已经够糟糕了,更糟糕的是,掌握这个密钥的人是在未知国家/地区的陌生人,这一事实将其推向了另一个新高度。

所以,我要大声告诉大家:

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险 存在 重大 知名 损失 项目 ACCE交易平台 ACCE ACCE历史价格表 新闻  第17张

如你所见,我确实了解到,由于审计报告已经完成,Harvest匿名开发者添加了一个前面所提到的时间锁,这是一个只有12个小时的时间锁,它不足以为用户提供提供安全保护。

在找到此信息之后,合理的下一步是尝试从Harvest Finance社区和开发者那获取更多的信息,但情况不是很好,我因为询问谁持有管理密钥而遭到语言攻击。Harvest Finance团队禁止我加入他们的Discord社区,并在Twitter上将我屏蔽。

DeFi项目Harvest Finance造成用户损失超2000万美元,知名KOL提醒称项目存在重大风险 存在 重大 知名 损失 项目 ACCE交易平台 ACCE ACCE历史价格表 新闻  第18张

现在,我不仅知道Harvest Finance所持有的资金处于非常危险和不安全的境地,而且我也知道他们的匿名开发者对质疑声持抵制态度,这些对于投资者来说都是不利因素。

这种情况将来会改变吗?如果有一天该项目的匿名开发者充分地分散了当前的管理密钥,那么它可能再值得一看。

但在那之前呢?这是一个不可接触的DeFi产品。

将以上这些步骤应用到你感兴趣的每一个DeFi产品上,你将能够作为一个非开发人员而生存下来,祝你好运!

相关推荐

一文了解以太坊8大扩容方案生态全景:Layer 2生态该如何站队?

...

Swap之争:Uni停矿 Sushi谋变

...

BTC链上活动空前活跃,网络健康程度创新高

...

XRP价格在一个月内暴涨91%,或有三个原因

...

谷燕西:数字货币中的欧元与美元之争

...

观点丨为什么不存在 "Ethereum杀手"?
观点丨为什么不存在 "Ethereum杀手"?

作者 | EricOlszewskiEthereum 社区一直坚持在前沿和冒险的道路上发展。事实上,我们大多数人都同意这样的观点:如果有更好的平台出现,我们会...

1小时前 admin

加密货币最友好国家,美国vs波多黎各?

...

门罗币不再是隐私币?加密分析公司申请跟踪门罗币交易的专利

...

对话朱砝:矿机服务业竞争很初级,技术和服务需要更加专业、精细

...

Serum简报:链上质押即将上线

...

香港财政司司长:若数字人民币能应用于跨境支付,可促进香港与内地互联互通

香港特区政府财政司司长陈茂波23日在出席一场论坛时表示,若数字人民币能应用于跨境支付,将可进一步促进香港与内地,尤其是粤港澳大湾区的互联互通。香港特区政府和香港金融管理局(金管局)已做好准备,将积极和...

美联储:央行数字货币在隐私保护方面将击败大科技公司
美联储:央行数字货币在隐私保护方面将击败大科技公司

美联储研究员表示,央行数字货币在隐私保护方面将击败大科技公司。纽约联储研究员MichaelLee和加州大学圣巴巴拉分享经济学教授RodGarratt近日在一...

2小时前 admin

Visa首席执行官:加密货币的未来是稳固的
Visa首席执行官:加密货币的未来是稳固的

Visa的首席执行官AlfredKelly正在考虑未来几个月比特币的发展方向。毫无疑问,比特币过去一年表现强劲。Kelly认为,世界很可能会逐渐过渡到数字支付...

2小时前 admin

门罗币不再是隐私币?加密分析公司申请跟踪门罗币交易的专利

上周五,加密分析公司CipherTrace宣布,该公司已就追踪隐私币Monero交易的技术申请了两项专利。11月20日,CipherTrace在其博客中表示,其中一项专利是取证工具,可用于探索Mone...

EPNS:以太坊生态系统中缺失的齿轮
EPNS:以太坊生态系统中缺失的齿轮

你是否注意到以太坊生态系统中缺少一个重要的齿轮?它就是通信。尽管区块链技术迅猛发展,但在通信方面,行业仍然像早期互联网一样。行业缺乏一种机制来完成从dApps和...

2小时前 admin