災情更新|Harvest遭駭2,400萬美金!駭客手握 1,520 顆比特幣成市場未爆彈
今日(10/26)約中午時,流動性挖礦項目 Harvest Finance 驚傳遭駭 2,400 萬美金,其代幣 FARM 也連帶慘崩近 60%,駭客雖歸還了 247 萬美金的部分資產,但離遭駭金額仍有極大差距,官方在推特上表示對駭客技術感到敬畏,除了喊話返還用戶資產外,也提供十萬美金給予第一個能聯絡上駭客的任何團隊。
據了解,中午 Harvest Finance 資金池發生大量轉移,駭客透過多筆合約交易套現約 2,400 萬美金,主要透過 renBTC 套現,並僅將 247 萬美金返還給開發人員。此次主要是 Curve y 池遭受攻擊,自攻擊發生至此,已完成步驟如下:
- Curve y 資金全數轉移至 vault
- 暫停穩定幣和比特幣入金
- fUSDC 價位:0.834998
- fUSDT 價位:0.844731
- TUSD、DAI、WBTC、RENBTC 等其它資產入金不受影響
- 所有 vault 皆已穩定
由 fUSDC 以及 fUSDT 價位可見,參與流動性挖礦的用戶對於這將近 17% 的損失非常不滿,更不用說還需承受 FARM 代幣逼近 60% 的跌幅。Harvest 官方則表示駭客以 USDT 和 USDC 為形式返還了 2,478,549.94 美元,將會以快照方式按比例歸還給受害用戶。
廣告 - 內文未完請往下捲動
駭客套現過程
根據駭客交易紀錄可以看出,駭客在此次攻擊中共獲利 1,100 萬 USDT 與 1,300 萬 USDC。不過,由於持有穩定幣可能會被發行商凍結,因此駭客並沒有選擇持有穩定幣,而是分批將穩定幣透過 Uniswap 兌換成 WBTC。下圖是 Uniswap 24 小時代幣交易量數據。
駭客在獲得 WBTC 後,又透過 Curve 將 WBTC 兌換成 renBTC,此地址可看到所有交易流程。經過計算,駭客共兌換了 1,520 顆 renBTC,總價值接近 2,000 萬美元。目前,駭客正企圖透過 Ren Protocol 將 renBTC 兌換成 BTC,一但駭客順利兌換,這些比特幣恐將成為市場短期內的不定時炸彈。
根據 Harvest 團隊的最新說法,其已聯繫 Ren Protocol 希望他們協助定位駭客的比特幣地址,並請求交易所將這些地址列入黑名單,
Update: we are currently working with @renprotocol
to locate the BTC addresses where the funds were transferred via renVM. Once they are verified they will be posted in this thread. All exchanges will be contacted to block these addresses.— Harvest Finance (@harvest_finance) October 26, 2020
而 Harvest 團隊除了試圖掌控駭客可能用來出金的比特幣地址外,聲稱該名駭客在加密社群中相當知名,已經掌握非常可觀的駭客個資,也祭出十萬美金的獎勵,將提供給第一個能聯絡上駭客的任何個人或團隊。
In addition to the BTC addresses which hold the funds, there is now a significant amount of personally identifiable information on the attacker, who is well-known in the crypto community.
We are putting out a 100k bounty for the first person or team to reach out to the attacker
— Harvest Finance (@harvest_finance) October 26, 2020
後續影響
值得一提的是,這次的攻擊也意外導致 Uniswap 與 Curve 兩個平台的交易量飆升,平台 24 小時交易量雙雙突破 20 億美元,為兩個平台的流動性提供者帶來鉅額收益。根據估算,Uniswap 流動性提供者在 24 小時內約獲利 600 萬美元,而 Curve 流動性提供者約獲利 100 萬美元。
— jiecut (@jiecut42) October 26, 2020
而 Curve y 池的挖礦收益,也因為 Harvest 資金大規模撤出而暴增,年化報酬率來到 172%。