首发 | Harvest.Finance攻击事件分析

流动性挖矿(YieldFarming)是近期DeFi领域中的最热话题，以各种食物为主题的流动性挖矿似乎每日都能凑成一桌饕餮盛宴，大爆炸式地将新的DeFi概念灌输给投资者与用户。

每天新的流动性挖矿项目都会出现，同时旧项目也在退出人们的视野。对于这些项目“新人哪闻旧人哭”的快速交替，身为以建立区块链健康安全生态为己任的CertiK，希望给大家带来更有价值的问题和答案：当我们在讨论流动性挖矿项目安全性的时候，讨论点和关注点都应该是什么？

安全这个话题难以简单概述，非细致的讲解不能窥探一二。

本文在此以Harvest.Finance为例，分析作为流动性挖矿项目其存在的安全风险。

Harvest.Finance，它的名字非常直观的说明了其设计意图——流动性挖矿。

该项目的代码已经开源，网站社区等也一应俱全。尽管Harvest.Finance的审计报告已公布，其项目中被审计部分的安全性目前可以被信任，但是这并不能说明Harvest.Finance的整体安全性得到了保障。

LBANK蓝贝壳于3月22日18:00首发 DORA，开放USDT交易:据官方公告，3月22日18:00，LBANK蓝贝壳首发DORA(Dora Factory)，开放USDT交易，现已开放充值。

资料显示，Dora Factory 是基于波卡的 DAO 即服务基础设施，基于 Substrate 的开放、可编程的链上治理协议平台，为新一代去中心化组织和开发者提供二次方投票、曲线拍卖、Bounty 激励、跨链资产管理等可插拔的治理功能。同时，开发者可以向这个 DAO 即服务平台提交新的治理模块，并获得持续的激励。[2021/3/22 19:07:06]

CertiK安全研究团队从该项目智能合约出发，发现了该项目中存在与其他类似流动性挖矿项目同样的问题：治理中心化，即许多关键操作只允许项目管理者来进行，没有任何对项目限制者的限制手段，例如：

图1：DelayMinter.sol

首发 | 欧科云链推出“天眼方案”推动链上安全系统再升级:8月28日，区块链产业集团欧科云链宣布推出区块链“天眼方案”，主要通过链上数据追踪系统研发、对外技术支持、凝聚企业众力等途径，全面助力区块链安全提升和产业平稳健康发展。

据了解，在“天眼方案”下，欧科云链集团将打造链上数据追踪系统，通过溯源数字资产、监控非法交易等手段，全力遏制等非法行为；协助执法机关办案，并为打造法务等区块链系统提供技术支持；为联盟链和基于各类业务的链上数据提供区块链+大数据的解决方案。[2020/8/28]

参考链接：

https://github.com/harvest-finance/harvest/blob/master/contracts/DelayMinter.sol

图2：Governable

参考链接：

https://github.com/harvest-finance/harvest/blob/master/contracts/Governable.sol

《精灵达人3D》正式首发 Cocos-BCX 主网:据官方消息，近日，由生态合伙人 DAPPX 参与开发的《精灵达人3D》正式首发于游戏公链 Cocos-BCX 主网。《精灵达人3D》是一款以精灵宝可梦为题材的抓宠游戏，游戏美术采用全3D 制作。用户可通过 CocosWallet ， DAPPX 或 IMCOCOS 登录 COCOS 主网账号即可体验。截至目前，Cocos-BCX 主网已上线《加密骑士团》《恶龙必须死》《XPEX怪兽世界》《Go Block》《可可夺币》《熊猫运动会》等多款玩法多样的趣味性链游，游戏公链生态在逐步壮大和完善。[2020/8/20]

图3：Storage.sol

参考链接：

https://github.com/harvest-finance/harvest/blob/master/contracts/Storage.sol

首发 | 此前18000枚BTC转账是交易所Bithumb内部整理:北京链安链上监测系统发现，北京时间10月24日，17:07分发生了一笔18000枚BTC的转账，经分析，这实际上是交易所Bithumb的内部整理工作，将大量100到200枚BTC为单位的UTXO打包成了18笔1000枚BTC的UTXO后转入其内部地址。通常，对各种“面值”的UTXO进行整数级别的整理，属于交易所的规律性操作。[2019/10/24]

图1中第102行起的函数executeMint()的功能是进行铸币操作，由于onlyGovernance的限制，使得只有于onlyGovernance许可的地址可以执行该函数，而onlyGovernance的定义来自于图2中14行与图3中27行的代码，最终从图3的28行可以看到所谓的“Governance”其实仅是指项目拥有者本身，并不是如名称所暗示指代一个管理委员会。

IMEOS首发 EOS Go公布新增两条复选条件 :据金色财经合作伙伴IMEOS报道：今日，EOS Go在 steemit上公布新增的两条复选条件为：

1. 保证安全的计划：候选节点是否在steemit上发布文章介绍该节点的安全方法和计划，“安全方法”标准是向EOS选民展示安全最佳实践知识和组织实施计划的机会；

2. 立场：描述该节点分享通胀奖励和/或向EOS代币持有人派发股息的立场（候选节点在steemit发布）。主要阐述以下两个问题：

该组织是否会出于任何原因向EOS令牌选民提供支付，包括BP选举和社区建议？

该组织是否有书面的无票付款政策？如果是这样，请提供一个链接。[2018/4/27]

通过观察代码可以了解到，该项目的治理与重要操作的控制权都被项目管理者据有，中心化程度极高，而这一点明显违背了以去中心化为基本的流动性挖矿项目的本质。

即便项目管理者加入了一个延迟操作的功能，并设置了每一个铸币操作都需要提前公布给社区，这依旧无法从根本上解决问题。尤其是当Harvest.Finance项目把延迟的时间期限设置为12个小时，这也违背了大部分人的作息规律。

除了项目的治理中心化程度过高的通病，流动性挖矿项目同样存在被套利攻击的风险。

套利攻击是利用价格差进行低买高卖完成的以获利为目的的交易行为。已经发生过套利攻击的著名项目有Balancer和bZx。

10月26日Harvest.Finance项目也发生了套利攻击事件，损失超3380万美元。

对于此类攻击，需要弄清两个问题：

1.发生套利攻击的条件是什么？

2.为什么Harvest.Finance项目满足了这些条件？

发生套利事件需要的条件其实非常直观：可以完成低买高卖。

简化来说就是可以通过自己的交易或者操作来影响交易物的价格。

这种交易影响价格的手段可以是直接改变，也可以是改变交易物的数目来间接的影响价格。

流动性挖矿项目自身通过交易来铸币或者燃烧币的操作，十分容易满足改变交易物的操作要求。

一旦套利攻击者发现了可利用的攻击点，可以在没有风险的情况下当即利用闪电贷借取大额资金，将套利攻击的获利扩大。

图4：Harvest.Finance套利攻击的交易之一

参考链接：

https://etherscan.io/tx/0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877

图4所示交易是在此次发生于Harvest.Finance项目的套利攻击的其中一笔交易，攻击者通过查看该项目智能合约中控制铸造fUSDC代币数目的函数，发现铸造的代币数目依赖于其参考的Curve项目的计算公式，继而依靠闪电贷获得大量初始资金进行套利攻击。

攻击者的执行交易的流程大致如下：

1.闪电贷借贷得到大笔USDC和USDT；

2.利用借贷所得USDT通过Curve转换为USDC，提高USDC价格；

3.将获得的USDC存入Harvest.Finance项目的USDC储藏室(vault)中,同时Harvest.Finance会为该存入的行为攻击者铸造一定数目的fUSDC(铸造的数目受Curve影响)；

4.?将初始借贷所得的USDC通过Curve转换为USDT，提高USDT的价格，同时USDC价格降低；

5.最终攻击者将持有额所有fUSDC转换回USDC，此时因为Curve中的USDC价格降低，导致影响了兑换回USDC的数目增加。

最终攻击者利用类似操作，完成了14笔利用针对USDC的套利交易，然后利用同样的思路，针对USDT完成了另外13笔套利交易。

根据官方报告，计算了攻击者返还给项目的1300万USDC和11万USDT之后，总损失超过2亿人民币。

在Harvest.Finance这次的套利攻击事件中，攻击者通过影响USDC、USDT代币的价格来进行套利。

因此，项目代币价格不能简单的依赖于其相对数目，而应该稳定建立于实时、有效、可靠的价格提供系统之上。例如目前的chainlink的价格预言机便可以一定程度上解决此类隐患。

当讨论一个流动性挖矿项目的安全性时，不应仅仅简单的查看程序代码、智能合约的安全，而需要查看更加深层的、逻辑性的漏洞，例如治理中心化以及代币价格控制逻辑可能导致的套利攻击风险。

传统的代码审计并不适合包括流动性挖矿在内的区块链项目。

面对此类项目，需要有经验丰富的区块链项目专业审计人员，从传统代码审计、逻辑审计、金融模型审计等多角度对项目的安全进行逐步且完备的审核，才可确保项目的安全。

迄今为止，CertiK已为超过200名机构用户提供了优质服务，保护了超过80亿美元的数字资产与软件系统免受安全损失。

欢迎搜索微信关注CertiK官方微信公众号，点击公众号底部对话框，留言免费获取咨询及报价！?

标签：USDNCEANCNANUSDAPopsicle FinanceYFS.FinanceCharged Finance

Coinw热门资讯