当我们谈论国防安全时，我们在说什么？收获。金融攻击事件分析

田间农业是近年来农业领域最热门的话题。似乎，各种食品主题的流动性挖矿可以成为每天的盛宴，向投资者和用户植入了DeFi的新概念。

每天都有新的流动性挖矿项目出现，而老项目却不见踪影。对于这些项目的快速交替，负责建立区块链健康安全生态的certik希望给我们带来更多有价值的问题和答案：我们在讨论移动挖矿项目的安全问题时，讨论的重点和重点应该是什么？

很难对安全这一话题作一个简短的概述，没有详细的解释，我们就不能窥探它。

在本文中收获。金融以流动性挖矿项目为例，分析了流动性挖矿项目的安全风险。

收获。金融它的名字很直观地描述了它的设计意图——流动性挖矿。

该项目的代码是开源的，网站社区也可用。尽管收获。金融项目审计部分的安全性目前可以信赖，但这不能解释收获。金融整体安全有保障。

从项目的智能合约入手，certik安全研究团队发现，该项目与其他类似的流动性挖矿项目存在相同的问题：治理中心化，即许多关键操作只允许项目经理执行，而没有对项目限制因素采取任何限制措施，如作为：

图1延迟器.SOL

参考链接：

https://github.com/harvest-finance/harvest/blob/master/contracts/DelayMinter.SOL

图2：可管理

参考链接：

https://github.com/harvest-finance/harvest/blob/master/contracts/governanable.SOL

图3：存储.SOL

参考链接：

https://github.com/harvest-finance/harvest/blob/master/contracts/Storage.SOL

图1中第102行中executemint（）的函数是执行投币操作。由于ongovernance的限制，此函数只能在ongovernment允许的地址执行。ongovernance的定义来自图2第14行和图3第27行的代码。**，从图3的第28行，我们可以看到所谓的“治理”只是指项目的所有者，而不是顾名思义的管理委员会。

通过观察规范可知，项目管理和重要业务的控制权归项目经理所有，且中心化度很高，这显然违背了基于分权的流动性挖矿项目的本质。

即使项目经理增加了延迟运营的功能，并规定每一次投币操作都需要提前向社会公布，也无法从根本上解决问题。尤其是当收获。金融该项目将延迟时间限制为12小时，这也违反了大多数人的工作和休息规则。

除了项目治理中心化的通病，流动性挖矿项目也存在套利攻击的风险。

套利攻击是一种利用价差低买高卖的营利**易行为。经历过套利攻击的**项目是balancer和BZX。

10月26日收获。金融该项目还遭受了套利攻击，损失超过3380万美元。

对于此类攻击，需要澄清两个问题：

1套利攻击的条件是什么？

2为什么？收获。金融项目是否符合这些条件？

套利所需的条件其实很直观：可以完成低成本高销量。

总之，交易的价格会受到其自身交易或操作的影响。

这种交易可以通过改变交易项目的数量直接或间接地影响价格。

流动性挖矿项目的硬币或烧钱交易操作，很容易满足变更交易的操作要求。

一旦套利攻击者发现了可利用的攻击点，就可以立即利用闪电贷款借入大量资金而无风险，扩大套利攻击的利润。

图4：收获。金融套利攻击的交易之一

参考链接：

https://ETHerscan.io/tx/0x35f8d2f572fceaac9288e5d46211780ef2694786992a8c3f6d02612277b0877

图4所示的事务此时发生收获。金融该项目的一笔套利攻击交易，通过对项目智能合约中代币投放数量控制功能的检查，发现代币投放数量依赖于曲线项目的计算公式，然后通过闪电贷款获得大量初始资金进行套利攻击。

攻击者执行事务的过程如下：

1闪电贷款获得了大量的美元和美元；

2通过曲线将借款获得的美元兑美元汇率，提高美元汇率；

3存入获得的美元收获。金融同时在项目的USDC储藏室（金库）内收获。金融一定数量的假动作会影响攻击者的施法行为；

4通过曲线将初始贷款获得的美元兑换成美元兑美元，提高了美元兑美元的价格，降低了美元兑美元的价格；

5**，攻击者将持有的所有FSDC转换为USDC，这会影响赎回USDC数量的增加，因为曲线中USDC的价格降低。

**，攻击者利用相似的操作完成了14次针对USDC的套利交易，然后用同样的思路完成了13次针对USDT的套利交易。

据官方报道，经计算，攻击者返还给项目的1300万美元DC和11万美元DT，总损失超过2亿元人民币。

留下来收获。金融在这种套利攻击中，攻击者通过影响USDC和USDT代币的价格来进行套利。

因此，项目代币价格不能简单地依赖于其相对数量，而应在实时、有效、可靠的价格供应系统上保持稳定。比如说，连锁预测这样的环节可以解决一些隐患。

在讨论流动性挖矿项目的安全性时，不仅要简单检查程序代码和智能合约的安全性，还需要考察更深层次的逻辑漏洞，比如治理中心化导致的套利攻击风险和代币价格控制逻辑。

传统的代码审计不适用于包括流动性挖矿在内的区块链项目。

面对这样的项目，需要有经验的区块链项目专业审核员，从传统的代码审核、逻辑审核、财务模审核等角度，逐步、全面地审核项目的安全性，确保项目的安全性。