Harvest Finance: $24M Attack Trigger $570M 'Bank Run' sa Pinakabagong DeFi Exploit

Isang arbitrage trade na nagsasamantala sa mga mahihinang punto sa decentralized Finance (DeFi) protocol Harvest Finance humantong sa humigit-kumulang $24 milyon sa mga stablecoin na naalis mula sa mga pool ng proyekto noong Lunes, ayon sa CoinGecko.

Ayon sa mga ulat, gumamit ang isang umaatake ng a flash loan – isang pamamaraan na nagbibigay-daan sa isang negosyante na kumuha ng napakalaking pagkilos nang walang anumang downside – upang manipulahin ang mga presyo ng DeFi para sa kita. Ang pagsasamantala ay nagpadala ng katutubong token ng platform, FARM, bumabagsak ng 65% sa loob ng wala pang isang oras, na sinundan ng kabuuang halaga ng naka-lock (TVL) ng proyekto, na bumaba mula sa mahigit $1 bilyon bago ang pagsasamantala sa $430 milyon sa oras ng pag-uulat.

Ang mga pondo ay kalaunan ay ipinagpalit Bitcoin (BTC), ngunit hindi bago na-swept sa pamamagitan ng Ethereum mixing service Buhawi Cash.

Read More: Bumagsak ang Harvest Finance Token 65% Pagkatapos ng Attack Saps DeFi Site ng TVL

Ang paghahalo ng mga barya ay T KEEP sa koponan ng Harvest Finance sa dilim nang matagal. Ang taong nasa likod ng pagsasamantala ay “kilala sa komunidad ng Crypto ” pagkatapos mag-iwan ng “malaking halaga ng personal na nakakapagpakilalang impormasyon,” ayon sa Discord ng proyekto. Ang lahat ng pitong Bitcoin wallet na may hawak ng mga pondo ng umaatake ay kilala rin.

Ang hindi kilalang mga developer sa likod ng proyekto ay hindi nais na gawin ang partido ngunit sa halip ay nag-aalok ng $100,000 na pabuya para sa pagkumbinsi sa umaatake na ibalik ang mga pondo.

"Para sa umaatake: napatunayan mo ang iyong punto, kung maibabalik mo ang mga pondo sa mga gumagamit, lubos itong pahahalagahan ng komunidad, kabilang ang maraming mga nakikinig," sabi ng koponan sa pamamagitan ng Discord.

Muling nag-atake ang mga flash loans

Ang pagsasamantala mismo ay isinagawa ng isang serye ng mga arbitrage trade sa pagitan ng mga protocol ng DeFi Uniswap, Curve Finance at Harvest Finance, ayon sa Etherscan. Nagsimula ang umaatake sa pagkuha ng $50 milyon USDC flash loan mula sa Uniswap. Pagkatapos ay nagsimula silang makipagpalitan sa pagitan ng USDC at Tether (USDT) upang maging sanhi ng mabilis na pag-ugoy ng mga presyo ng dalawang token.

Nagsimulang bumaba ang presyo ng USDT sa Harvest Finance habang ang umaatake ay nagpapalitan ng mga token pabalik- FORTH. Pagkatapos ay pinalitan ng attacker ang may diskwentong USDT para sa mga stablecoin na kinuha sa flash loan. Ginawa ng attacker ang pagkilos nang maraming beses. Ang bawat matagumpay na pagpapalit ay ginawa eter (ETH) pagkatapos ay tokenized Bitcoin (WBTC at renBTC, sa ganoong pagkakasunud-sunod) at pagkatapos ay BTC, ayon sa Zerion.

Read More: Uniswap, Ang Curve Daily Trading Volume ay Lumampas sa $2B, Malamang na Hinimok ng Harvest Attack

Kapansin-pansin, mga $2.5 milyon ang naibalik sa kontrata ng Harvest Finance . Sinabi ng developer team na ang mga pondo ay ipapamahagi nang pro rata sa mga apektadong user. Ang presyo ng token ay bahagyang bumangon, bumaba ng 49% sa loob ng 24 na oras hanggang $126.82, ayon sa CoinGecko.

Ang pagsasamantala ay sumasali sa isang pagpapangkat ng mga katulad na flash loan-based na arbitrage trade na isinagawa laban sa mga DeFi application noong 2020. Halimbawa, ang lending platform na bZx ay ang unang tamaan ng flash loan exploit noong Pebrero 2020.