USD:Harvest Finance遭闪电贷攻击，DeFi安全仍任重道远

北京时间本周一，有推特网友发现疑似有黑客通过闪电贷从HarvestFinance中巨额套现。

随后HarvestFinance官方发布推特称，黑客发起的此次经济攻击是通过CurveY池进行的。为了保护用户，其已经将Y池和BTCCurve策略资金存入Vault中，所有稳定币和BTC资金都在Vault中，其他池不受影响。

对于这一安全事件，慢雾安全团队复盘了黑客的攻击手段：攻击者通过以太坊匿名转账平台Tornado.cash转入20ETH作为后续攻击手续费，然后通过UniswapV2闪电贷借出巨额USDC与USDT。

加密平台Revix：受Haru暂停服务影响客户只能提取资产的76%:金色财经报道，南非加密平台Revix于6月28日表示，客户现在只能提取其加密资产的四分之三以上(76%)。Revix表示，阻止客户提取另外24%加密资产的举动是在其主要服务提供商之一Haru Invest暂停存款和取款之后做出的。

据韩国媒体报道，Haru Invest暂停服务的决定也影响了另一家数字交易平台Delio。此外，韩国当局还对B&S控股、Delio、Haru Invest的部分高管采取了禁止出境措施。[2023/6/30 22:11:06]

之后，攻击者先通过Curve将USDT换成USDC，这导致了CurveyUSDC池中的investedUnderlyingBalance参数变小，随后攻击者通过Harvest存入巨额USDC，同时铸出fUSDC，而计算铸出fUSDC数量依赖于CurveyUSDC池的investedUnderlyingBalance参数，这导致铸出了更多的fUSDC。

加密资产管理平台Haru Invest获得立陶宛对其欧盟业务的VASP授权:3月27日消息，数字资产管理平台Haru Invest宣布其在欧盟注册成立的子公司Haru EULimited UAB已成为其欧盟运营总部。作为VASP授权企业，Haru Invest现在可以提供加密交换和钱包/托管服务。据悉，该VASP授权正式允许该公司直接支持欧元货币，使欧盟国家能够在加密货币和欧元之间进行购买和交易。[2023/3/27 13:28:14]

完成这一步之后，攻击者通过Curve把USDC换回USDT，这时investedUnderlyingBalance参数恢复正常，攻击者只需归还fUSDC即可获得比充值时更多的USDC。通过重复这一过程，攻击者可以持续获利。

Samuel Harrison：风投在接下来的一两个季度里会放慢脚步:Blockchain.com Ventures联合创始人兼管理合伙人Samuel Harrison在接受采访时谈及了疫情对风投领域的影响。Samuel称，我认为疫情期间最主要的变化时是风投都会比以前花更多的时间关注自己的投资组合，而花更少的时间寻找新的交易。风投们越来约关注花更多的时间来帮助公司解决各种各样的问题，以确保他们在未来12-18个月里有一个良好的财务计划。达成新交易的门槛可能暂时提高了。我想再过一两个月，我们正在考虑的大部分交易仍将处于谈判中。我认为很多风投机构都会在接下来的一两个季度里自然而然地放慢脚步。（Brave New Coin）[2020/4/19]

随着DeFi应用的发展，DeFi安全问题正在成为不可忽视的问题。

据《比推》此前报道，今年初，两名黑客利用闪电贷攻击了保证金交易协议bZx，套利金额达到100万美元；随后在今年6月，Balancer流动性池再次遭闪电贷攻击，损失达50万美元。

闪电贷概念最早由Marble协议于2018年提出，旨在通过智能化合约完成的零风险贷款。智能合约平台一次性处理交易，所以一次交易的所有元素是批处理执行的，如果借款人不能偿还贷款，整个交易就会回滚，就像贷款根本没发生一样。

闪电贷不能收取传统意义上的利息，其最初的营销标签是主要用于套利交易。但是很快黑客发现可以用其进行经济攻击，攻击者可以使用闪电贷获得攻击所需要大量的前置资金，贷款也使得这些用于攻击的资金与黑客本身没有直接关联，使得难以追踪黑客的身份。

在HarvestFinance遭攻击这一事件中，黑客正是利用了这两点发起了精心设计的攻击。目前HarvestFinance仍在追查黑客信息，其官方推特称，将公开悬赏10万美金奖励首位成功和攻击者取得联系并帮助返还用户资金的个人或团队。

截止发稿时为止，HarvestFinance的锁定金额价值为5.4亿美元，相比一天前下跌了近50%。

图片来源：pixabay

作者LiangChe

声明:比推所有文章都只代表作者观点，不构成投资建议。投资有风险，后果自负。

作者：比推BitpushNews；来自链得得内容开放平台“得得号”，本文仅代表作者观点，不代表链得得官方立场凡“得得号”文章，原创性和内容的真实性由投稿人保证，如果稿件因抄袭、作假等行为导致的法律后果，由投稿人本人负责得得号平台发布文章，如有侵权、违规及其他不当言论内容，请广大读者监督，一经证实，平台会立即下线。如遇文章内容问题，请发送至邮箱：linggeqi@chaindd.com

标签：USDUSDCSDCUSD币USD价格USDC币USDC价格SDC价格SDC币

AAVE热门资讯