Злоумышленник выдал себе быстрые кредиты, которые позволили ему временно манипулировать резервами Harvest Finance, хранящимися в протоколе Curve. Быстрые кредиты привели к снижению стоимости USDT и USDC на Harvest, что позволило злоумышленнику покупать криптоактивы гораздо дешевле их реальной цены. Таким образом, хакер погасил кредиты и получил дополнительную прибыль.

Справка

Harvest Finance – криптовалютная площадка, на которой пользователи могут инвестировать в криптовалюту, следить за колебаниями цен, осуществлять покупку и продажу цифровых активов.

У площадки есть своя криптовалюта FARM Сoin — совместимый токен ERC20 в блокчейне Ethereum.

Токены Harvest Finance не подлежат майнингу, то есть все монеты данной криптовалюты были выпущены сразу или выпускаются исключительно основателями данной валюты. Количество выпущенных монет FARM на данный момент — 252,571 монеты, что составляет 37% от общего количества монет криптовалюты Harvest Finance. Максимально возможное количество монет — 690,420 штук.

Как такое возможно

Все дело в скорости атаки. По признанию самих разработчиков платформы, у них просто не было времени, чтобы среагировать на атаку. На все манипуляции хакеры потратили менее 10 минут.

Как и другие арбитражные атаки, все началось с большого мгновенного займа. Средства были использованы для манипуляции ценой активов fUSDT и fUSDC, затем прибыль была сконвертирована в renBTC и выведена.

Кроме того, разработчики полностью признали, что возможность подобного взлома — это полностью их вина, вследствие «серьезной инженерной ошибки».

О том, что из пулов ликвидности Harvest Finance начался вывод активов, написал один из пользователей Twitter под псевдонимом devops199fan.

Атака на Harvest Finance привела к потере 34 миллионов долларов

Он сообщил, что они были обменяны на токены renBTC, при этом часть украденного прошла через сервис микширования Tornado Cash.

После атаки курс токена FARM рухнул на 65% всего за час, а его цена упала с $242 до $100.

Щедрый грабитель

Грабитель воспользовался уязвимостью в механизме формирования расчета цен для ввода и вывода. Но интересно другое.

Спустя некоторое время, хакер отправил $2 478 000 в адрес разработчиков в форме токенов USDT и USDC. Руководство платформы Harvest Finance уже подтвердило, что данные средства будут использованы для возмещения пострадавшим пользователям.

Кроме того, «отмывание» и вывод криптомонет производился через маркетмейкеров Uniswap и Curve, где заметно увеличился объем торговли, а размер полученной при обмене комиссии составил более $500 000.

Так что «чаевые» от ограбления получились не маленькие.

Как вернуть деньги

Разработчики Harvest Finance объявили о вознаграждении в размере $100 000 первому человеку или группе, которые выследят хакера или убедят его вернуть криптоактивы. Сама площадка утверждает, что грабитель изрядно «наследил» и оставил достаточно личной информации для его идентификации, и даже утверждают, что знают личность взломщика.

Для предотвращения подобных атак в будущем, разработчики предложили несколько решений. Во-первых, сделать невозможным внесение и снятие средств в рамках одной транзакции, т.е. устранить функционал быстрых кредитов. Во-вторых, добавить преобразование вывода токенов Curve в стейблкоины в отдельных транзакциях, что позволит минимизировать ущерб от быстрого кредита.

Атака на Harvest Finance привела к потере 34 миллионов долларов

Команда Harvest Finance обратилась к хакеру в Twitter: «Для злоумышленника: вы доказали свою точку зрения, если вы можете вернуть деньги пользователям, это будет высоко оценено сообществом, включая многих сторонних наблюдателей DeFi».

Вывод

Держатели криптовалюты часто теряют ее по разным причинам. Одна из них — мошенники. Они придумали много способов для кражи цифровых активов и применяют их в основном против неопытных пользователей. Однако, атаки на криптоплощадки — это совершенно другой уровень. Скорее всего, разработчики прекрасно понимают, что правоохранительные органы здесь бессильны в виду отсутствия достаточного регулирования рынка криптовалют, и им приходится уповать только на совесть грабителей. Вот только есть ли она у них — большой вопрос.

ПОДЕЛИТЬСЯ

ОСТАВЬТЕ ОТЗЫВ ИЛИ КОММЕНТАРИЙ

Please enter your comment!
Please enter your name here