慢雾：收获。金融黑色事件浅析

据慢雾区统计，2020年10月26日，丰收金融项目遭遇闪电式贷款攻击，损失超过400万美元。以下是慢雾安全小组对事件的简要分析。

1龙卷风现金转入20ETH作为后续攻击费

2攻击者通过uniswavv2闪电贷款借给了一大笔USDC和USDT

3攻击者首先通过曲线交换，底层函数将USDT变为USDC，曲线yUSDC池中的投资余额将相应变小

4然后攻击者通过收成的存款向金库中再充一大笔美元。同时，harvest的金库将铸造fUSDC，铸造数量的计算方法如下：

金额.mul（totalSupp（））.div（欠平衡投资（））；

在计算方法中，有投资的基础余额部分取投资余额曲线下的投资价值

投资基础余额的变化将导致更多的fUSDC被保险库铸造

5然后利用曲线将USDC替换为USDT，使不平衡的价格恢复正常

6**，我们只需要把fUSDC放回保险库就可以得到比充电时更多的USDC。

7然后攻击者开始重复这个过程并继续获利

其他攻击过程与上诉分析过程类似

引用事务哈希：0x35f8d2f572fceaac9288e5d46211780ef2694786092a8c3f6d02612277b0877

结论：本次攻击主要是harvest finance的ftoken（fUSDC，fUSDT…）在铸币时使用曲线y池中的报价（即以曲线作为投料价格的来源），从而通过大量的交易来控制harvest finance中ftoken的币数，从而达到让攻击者有利可图。