26 октября 2020 Bloomchain
Разработчики заявили, что располагают значительным объемом информации о преступнике. По их словам, это хакер, который хорошо известен в криптосообществе.
Неизвестный хакер атаковал DeFi-протокол Harvest Finance, выведя из его пулов $25 млн, $2 млн из которых он затем вернул. После появления информации о взломе стоимость собственного токена проекта FARM обвалилась более чем на 50% и сейчас торгуется на уровне $112.
Курс токена FARM. Источник: CoinMarketCap
Harvest — это протокол доходного фермерства (yield farming), аналогичный yearn.finance. Он аккумулирует доходность по различным протоколам кредитования, оптимизируя ее для извлечения максимальной прибыли.
Для атаки на протокол использовался крупный флэш-кредит, с помощью которого был проведен арбитраж. Флэш-кредиты позволяют заимствовать до полной суммы свободной ликвидности по протоколу без залогового обеспечения, а затем использовать полученные активы для совершения иных операций.
Хакер использовал полученные активы для манипуляции с ценами стейблкоинов в DeFi-протоколе Curve Finance, с которым взаимодействует Harvest. В течение 7 минут он вывел вышеуказанную сумму средств из пулов Harvest, после чего обменял его на токены renBTC, часть из которых впоследствии была пропущена через миксер Tornado Cash.
За Harvest стоит анонимная команда разработчиков. На странице проекта в Twitter его представитель пояснил, что команда не успела отреагировать на взлом, потому что активы были выведены из протокола практически мгновенно. Однако теперь «100% стейблкоинов и BTC из стратегических фондов Curve» были выведены в защищенное хранилище.
Разработчики обнародовали несколько BTC-адресов, которые, по их словам, принадлежат преступнику, и попросили крупные криптовалютные биржи, такие как Binance и Huobi, заблокировать их. Они также сказали, что обладают «значительным объем информации о хакере, который хорошо известен в криптосообществе».
Разработчики отметили, что не заинтересованы в доксинге преступника. Вместо этого, они пообещали $100 тыс. тому, кто свяжется с хакером и «поможет ему вернуть средства на адрес развертывания».
Интересно, что ранее компания Haechi, которая провела аудит смарт-контракта Harvest, предупредила сообщество, что администрация проекта располагает инструментом, позволяющим в теории выводить из протокола пользовательские активы.
В разговоре с The Block аналитик Крис Блек отметил, что не исключает возможность «инсайдерской работы». Специалист подчеркнул, что «никто не знает смарт-контракт лучше, чем его разработчики».
«В таких ситуациях умный пользователь DeFi не предполагает, что случилось что-то, на что он рассчитывал. Умный пользователь предполагает, что случилось худшее из того, что вообще могло случиться. Враждебное мышление — единственный способ обезопасить себя в этой сфере», — сказал Блек.
https://bloomchain.ru/ (C)
Не является индивидуальной инвестиционной рекомендацией
При копировании ссылка обязательна Нашли ошибку: выделить и нажать Ctrl+Enter
Неизвестный хакер атаковал DeFi-протокол Harvest Finance, выведя из его пулов $25 млн, $2 млн из которых он затем вернул. После появления информации о взломе стоимость собственного токена проекта FARM обвалилась более чем на 50% и сейчас торгуется на уровне $112.
Курс токена FARM. Источник: CoinMarketCap
Harvest — это протокол доходного фермерства (yield farming), аналогичный yearn.finance. Он аккумулирует доходность по различным протоколам кредитования, оптимизируя ее для извлечения максимальной прибыли.
Для атаки на протокол использовался крупный флэш-кредит, с помощью которого был проведен арбитраж. Флэш-кредиты позволяют заимствовать до полной суммы свободной ликвидности по протоколу без залогового обеспечения, а затем использовать полученные активы для совершения иных операций.
Хакер использовал полученные активы для манипуляции с ценами стейблкоинов в DeFi-протоколе Curve Finance, с которым взаимодействует Harvest. В течение 7 минут он вывел вышеуказанную сумму средств из пулов Harvest, после чего обменял его на токены renBTC, часть из которых впоследствии была пропущена через миксер Tornado Cash.
За Harvest стоит анонимная команда разработчиков. На странице проекта в Twitter его представитель пояснил, что команда не успела отреагировать на взлом, потому что активы были выведены из протокола практически мгновенно. Однако теперь «100% стейблкоинов и BTC из стратегических фондов Curve» были выведены в защищенное хранилище.
Разработчики обнародовали несколько BTC-адресов, которые, по их словам, принадлежат преступнику, и попросили крупные криптовалютные биржи, такие как Binance и Huobi, заблокировать их. Они также сказали, что обладают «значительным объем информации о хакере, который хорошо известен в криптосообществе».
Разработчики отметили, что не заинтересованы в доксинге преступника. Вместо этого, они пообещали $100 тыс. тому, кто свяжется с хакером и «поможет ему вернуть средства на адрес развертывания».
Интересно, что ранее компания Haechi, которая провела аудит смарт-контракта Harvest, предупредила сообщество, что администрация проекта располагает инструментом, позволяющим в теории выводить из протокола пользовательские активы.
В разговоре с The Block аналитик Крис Блек отметил, что не исключает возможность «инсайдерской работы». Специалист подчеркнул, что «никто не знает смарт-контракт лучше, чем его разработчики».
«В таких ситуациях умный пользователь DeFi не предполагает, что случилось что-то, на что он рассчитывал. Умный пользователь предполагает, что случилось худшее из того, что вообще могло случиться. Враждебное мышление — единственный способ обезопасить себя в этой сфере», — сказал Блек.
https://bloomchain.ru/ (C)
Не является индивидуальной инвестиционной рекомендацией
При копировании ссылка обязательна Нашли ошибку: выделить и нажать Ctrl+Enter