DeFi项目Harvest Finance造成用户损失超2000万美元，知名KOL提醒用户撤离

10月26日消息，锁定资金量超10亿美元的DeFi项目HarvestFinance被曝遭黑客攻击，据称已造成大约2400万美元的损失，很多参与者自称损失了15%以上的资金，受此消息影响，Harvest的治理代币FARM一度暴跌70%以上。

而Harvest项目方则发布推文解释称：

“这次攻击和其他套利经济攻击一样，缘于一笔大额的闪电贷，攻击者多次操纵curvey池以提取fUSDT和fUSDC资金，随后将资金转换成renBTC，并退出为BTC。”此外，Harvest项目方还表示：

“我们正致力于减轻对稳定币和BTC池的攻击，一旦有更多细节可用，我们将会进行实时更新。”而据DeFi之道提供的最新消息显示，黑客以USDT和USDC的形式归还了大约247.8万美元的资金，约占到被盗资金量的10%，而Harvest项目方则表示随后会将这些资金归还给受影响的用户。?

DeFi社区炸锅，知名KOL提醒用户应撤离Harvest

目前，关于这次Harvest攻击的信息依旧非常有限，而DeFi社区的知名参与者则发出提醒称，Harvest用户应尽快将其资金从该项目的合约中提取出来。

SushiSwap：在白帽安全流程中保护了大部分受影响资金:金色财经报道，SushiSwap在官方社交媒体表示，RouteProcessor 2合约批准错误之后，SushiSwap已经在帽安全流程中保护了大部分受影响的资金，并表示可以联系SushiSwap安全团队了解后续步骤。此外，SushiSwap还提供了官方链接，让用户查询是否会受到RouteProcessor 2合约批准错误的影响，包括检查并撤销已批准的代币。[2023/4/10 13:54:11]

截至发稿时，Harvest合约锁定的资金已骤降至5.9亿美元，较24小时之前下滑42.41%。

而在这次攻击发生的前一天，DeFi观察者ChrisBlec则揭示了Harvest项目所存在的巨大风险，其提到称，Harvest项目合约所锁定的10多亿美元资金，完全受匿名开发者的控制，并且开发团队存在刻意隐瞒这一事实的嫌疑。

以下是译文内容：

DeFi的发展太快，要跟上它的节奏实在太难，即使是我也是如此。

但这并不意味着我们无法保证安全，并且我们不必成为开发者就可以做到这一点。

传美国用户或无法申领BLUR代币:金色财经报道，NFT市场Blur在社交媒体发文宣布BLUR代币已上线，但有消息称用户在申领代币的时候必须证明他们不是美国人，一些有资格获得BLUR空投的美国公民在申领时收到“Airdrop.Blur.Foundation 在您所在的位置不可用”的提示，但社区有人称可以使用VPN来解决这个问题，但据称美国用户可能会产生潜在的纳税义务影响。Blur表示“Season 2”已经开始，接下来的30天内，所有的竞拍和挂牌积分将会翻倍，直到3月14日。[2023/2/15 12:07:24]

在这篇文章中，我将分享自己发现HarvestFinance存在高危管理密钥风险的步骤，而这一事实危及到了用户的资金。

就在昨天，当我查看DeFiPulse，并看到排行榜中排名第四的项目HarvestFinance时，其锁定的资金量已超过了10亿美元，但我发现自己对这个项目并不了解。

我第一次听说HarvestFinance，是他们为许多GitcoinGrants参与者捐款50,000美元，当时其宣布这一消息时，我确实有关注到它。

NFT项目pump?kin的Discord服务器和管理账户遭攻击:金色财经报道，NFT项目pump?kin发推称，Discord服务器和Discord管理账户遭到攻击，用户不要点击Discord服务器发送的任何链接或者私信链接。[2022/9/18 7:04:35]

两天前，我突然注意到一条关于Harvest锁定资金量突破10亿美元的推文。

看到这一点，我记下了要检查的内容。Harvest是目前市场上众多的收益农耕项目之一，我还没有时间去研究每一个，但是突破10亿美元的项目，无疑会让我产生兴趣。

我的第一站就是看他们的网站，找到它并不难，他们的官方Twitter介绍里就有链接。

这是一个典型的收益农耕用户界面，在点击了一段时间后，我发现他们接受了多个代币存款，包括UniswapLP代币，我开始想知道，这个项目的去中心化程度到底有多高。

这一部分实际上非常重要，因为很少有DeFi用户会这么干。任何时候，当一个智能合约接受存款时，你首先要问的问题是“这个产品的去中心化程度如何？资金是如何被持有的？有管理密钥吗？如果有的话，它能够做什么？”

迪拜酒店集团 FIVE Hotels and Resorts 计划接受比特币和以太坊支付:6月12日消息，总部位于迪拜的大型酒店FIVEHotelsandResorts正计划在瑞士开设新的分店，并接受BTC和ETH作为支付选项。该分店名为FIVEZurich，将于6月30日开始运营，并同时开启加密货币支付支持。（TheCryptoBasic）[2022/6/12 4:20:37]

一旦这些问题出现在你的脑海中，那你就需要在存款之前得到答案。如果你在没有答案的情况下就存款，那你就是在。

我开始点击他们的FAQ和Wiki标签，直到找到一些线索。首先，我看到Harvest的“技术资料”里提到了时间锁。

如你所见，在“技术资料”中没有提及关于管理密钥的其他内容。

什么是时间锁？它是一种智能合约，它为以太坊管理密钥调用的任何交易添加延迟，从而让用户有时间检查交易，并及时取出自己的资金。

也就是说，如果没有某种密钥，那就根本用不到时间锁。

所以当我看到时间锁这个词，而技术资料中没有提及管理密钥或它能够做什么时，我知道我必须更深入地调查这个项目。

阿里体育将发行“中国体育神器”系列数字藏品:金色财经消息，近日，天猫数字藏品展厅预告新品。阿里体育将发行“中国体育神器”系列数字藏品，该系列首款藏品“纸鸢”将于6月1日上午8点准时与收藏爱好者见面。据悉，该款“纸鸢”藏品限量4000份，618期间阿里体育旗下乐动力官方旗舰店购买指定产品即可加赠。（潇湘晨报）[2022/6/1 3:55:45]

在他们的Wiki页面上，我发现了一个名为“HarvestSecurity”的链接。通常，当你在DeFi产品网站上看到一个叫做“Security”的页面时，你一定会找到一些审计报告。而我确实也看到了。

HarvestFinance在其网站上提供了两份审计报告，这两项审计都是在9月份完成的，分别由知名的安全公司Peckshield和HaechiLabs所提供。

首先，我点击Peckshield审计的链接，然后我看到的是这个：

显然，这不是什么好事。

我只花了3秒钟就注意到URL是不正确的，以及“https://github.com…”之前的所有内容都应被删除。

在继续之前，让我问你，作为一名非开发人员，你会在这里停下来放弃吗？还是说，你会花点时间查看URL并尝试找出问题所在？

我不知道这是否是Harvest团队无意犯的错误，还是其故意阻止他人查看审计报告的一种方式。但是，我确实知道，用户必须要勤奋地寻找他们需要的信息，以作出明智的决定-即使这些信息被隐藏了起来！

所以，我修改了URL，并得到了Peckshield的实际审计报告：https://github.com/harvest-finance/harvest/blob/master/audits/PeckShield-Harvest.pdf

看起来很吓人，不是吗？

好吧，不一定如此，你无需成为开发者即可查看审计报告，并获得一些非常重要的，有关智能合约系统的线索。

打开审计报告时，我要做的第一件事，就是搜索提及管理密钥或“治理”的内容。

这很容易就能找到。

让我们看第42页的内容，如你所见，Peckshield使用了通俗易懂的英语，其向读者表明，Harvest项目的治理职责高度中心化且非常不稳定。

“当前由一个EOA账户所控制，这引起了社区的必要关注。”简单说，Harvest项目的资金，完全是由一个单一的以太坊账户所控制的，它并不涉及什么DAO，也没有多重签名。

在审核结果中，Peckshield给出了一个表，其中所有的资金都是由同一个地址所控制

阅读审计报告时，请务必记住，项目方通常要为审计公司支付费用，而当你在审计报告中看到类似这种表时，实际上代表审计公司在通知你，该项目实际存在一些非常真实的危险，审计公司希望在不完全激怒客户的情况下尽可能地诚实。接下来，查看HaechiLabs的审计报告：https://github.com/harvest-finance/harvest/blob/master/audits/Haechi-Harvest.pdf

我再次扫描了目录，然后看到了这个重要的提醒：

让我们再仔细看看。

这意味着，这些智能合约中所持有的10亿美元资金，开发者可随时将它们转移走。

管理密钥对于DeFi来说并不是什么新现象，而且HarvestFinance并不是唯一使用它的项目。但是，对于一个掌握10亿美金巨额资金的项目而言，管理密钥的存在是令人感到害怕的。

因此，我问自己的下一个问题是：

“是谁拥有这个功能非常强大的管理密钥？让我们和那个人谈谈。”我回到了HarvestFinance网站和他们的Wiki页面，然后找到了“常见问题”部分内容，这给了我答案。

不，上帝，请不要告诉我，这个掌握着11亿美元资金管理密钥的人竟然是一个匿名开发者。

上帝：对不起，这是事实。

该死的。

这个事实让我感到震惊，10亿美元由一个管理密钥控制已经够糟糕了，更糟糕的是，掌握这个密钥的人是在未知国家/地区的陌生人，这一事实将其推向了另一个新高度。

所以，我要大声告诉大家：

如你所见，我确实了解到，由于审计报告已经完成，Harvest匿名开发者添加了一个前面所提到的时间锁，这是一个只有12个小时的时间锁，它不足以为用户提供提供安全保护。

在找到此信息之后，合理的下一步是尝试从HarvestFinance社区和开发者那获取更多的信息，但情况不是很好，我因为询问谁持有管理密钥而遭到语言攻击。HarvestFinance团队禁止我加入他们的Discord社区，并在Twitter上将我屏蔽。

现在，我不仅知道HarvestFinance所持有的资金处于非常危险和不安全的境地，而且我也知道他们的匿名开发者对质疑声持抵制态度，这些对于投资者来说都是不利因素。

这种情况将来会改变吗？如果有一天该项目的匿名开发者充分地分散了当前的管理密钥，那么它可能再值得一看。

但在那之前呢？这是一个不可接触的DeFi产品。

将以上这些步骤应用到你感兴趣的每一个DeFi产品上，你将能够作为一个非开发人员而生存下来，祝你好运！

标签：VESESTARVVESTves币数字货币Stay In Destiny WorldCARVE币Coinvest

火星币热门资讯