Okex insights:Harvest的3400万美元被盗

由于其技术不成熟、缺乏监管，很容易成为黑客眼中的“提款机”

原标题：“okex insights:harvest被黑客抢走了3400万美元。为什么迪福会发生这么多安全事件？》奥克斯

另一个DeFi项目不幸成为黑客攻击的目标。10月26日，一位用户发现了DeFi mining项目收获金融疑似黑客。黑客借了闪电贷款，偷走了将近3400万美元。

嘉实官方微博解释说，套利攻击源于巨额闪贷，并多次操纵一种货币乐高的价格，耗尽另一种货币乐高（fUSDT，fUSDC）的资金。然后攻击者将资金转换成renbtc并兑现。与其他闪电攻击一样，攻击者没有给出响应时间，连续攻击7分钟。攻击者以USDT和USDC的形式返还了247万美元，将按比例分配给受影响的储户。

受攻击影响，爱科因市场显示，嘉实代币农场26日中午出现，暴跌近六成。

恐慌的用户急于从harvest撤出资产。另一方面，攻击者频繁的操作和套现行为导致Uniswap的日交易量和曲线不断创新高。debank的数据显示，截至10月27日，Harvest的锁定价格也暴跌了近60%，而Uniswap和curve的交易量飙升。

损失惨重的丰收公司悬赏10万美元以弥补损失。今天，它被提高到100万美元，以奖励第一个成功联系攻击者并帮助返还用户资金的人/团队。项目方在推特上表示，除了持有被盗资金的BTC地址外，还获取了大量攻击者的个人身份信息，此人在加密社区相当有名。

来源：Twitter，okex insights

快乐农场不快乐

收获金融你可以从名字看出渴望财务再说一次，它是一个DeFi收入聚合器。官方网站称，Harvest可以从**的DeFi协议中自动提取**产量，并使用**的挖矿技术优化产量。

Fdai、fUSDC和fwbtc是在harvest中抵押的稳定币，它们通过harvest算法自动进行流动性挖矿。如果用户将USDCs保存到harvest数据库中，harvest将铸造相应数量的fUSDCs，用户可以随时使用它们来兑换USDCs。

Harvest的亮点是自动流动性挖矿和中心化资金以节省GAS FEE用。图标是一辆在农田里行驶的拖拉机。有人生动地称之为“快乐农场”恐怕这件事会让丰收不高兴。

来源：收获金融，OKEx洞察

在这次攻击中，黑客主要利用去中心化交易曲线（DEX）的自动做市商（AMM）和harvest的fUSDT和fUSDC实现套利。黑客首先以闪电贷款的方式大量借入USDC和USDT，然后通过曲线交易改变这两种货币的价格，**利用USDC和fUSDC的价差实现套利。

DEFI成了黑客“提款机”

丰收肯定不是第一个受到攻击的DeFi项目，也可能不是**一个。检索新闻显示，在过去两个月里，发生了多起Defa黑客攻击事件。

9月29日，DFI项目由yfi创始人Andre cronje参与开发卓越金融由于协议漏洞，黑客利用闪电贷款攻击盗取1500万Dai，黑客随后归还800万美元。安德烈回应说，黑客利用了协议本身的一个简单漏洞，黑客通过这个漏洞发布了许多项目代币EMN，然后丢弃了额外的EMN。

yfi的流行使安德烈坐在硬币圈的祭坛上，而EMN事件给他的追随者泼了一盆冷水。相比之下，BZX遭遇黑客攻击的效果相对理想。

9月14日，BIFI贷款协议BZX在一年内第三次遭到攻击，由于代码重复事件，导致总资产损失超过800万。两天后，BZX发布了一份报告，表明所有丢失的资产都已被追回并储存在球队的钱包中，贷款池也将恢复。此外，该团队还向bug报告者Marc thelan支付了4.5万美元的报酬，并准备与peckshield制定一项计划，重新检查协议并实时监控一些关键的区块链数据指标。

链接节点就不那么幸运了。据block称，9家连锁节点运营商在8月底遭遇了所谓的“垃圾邮件攻击”攻击者从他们的“热钱包”中获得大约700以太坊。通过发送一个有效的价格请求，攻击者使节点运营商支付大量的汽油费。攻击者提高了这些预测机的GAS FEE用价格，迫使他们以更高的成本铸造Chi代币以支付GAS FEE用，然后出售Chi代币以获得ETH。

防范DeFi的安全风险

为什么黑客喜欢DeFi？究其原因，是大量资金与技术不成熟之间的矛盾。

今年是DeFi崛起之年，新项目层出不穷，流动性挖矿吸引了大量投资者。但同时，很难考虑到DeFi项目现有技术的去中心化性、安全性和稳定性。为了赶风，一些项目拿着合同漏洞冲上台。当然，黑客很便宜。

另一个原因是缺乏监管和法律保护，这是加密资产社区所共有的，因此不能追究黑客的法律责任。

不管是什么原因，最终承担损失的是德法投资者。建议你不要把鸡蛋放在一个篮子里。除了DeFi，您还可以布局CEX甚至传统金融资产进行多元化投资；其次，您可以购买一些可靠的DFI保险产品。

**，我们参与了DeFi项目。当前，不能只关注高利润。虽然没有计算机背景很难理解代码，但我们可以查看白皮书以及智能合约是否通过了权威机构的审核。正如okex首席执行官郝杰所言，“DeFi更依赖智能合约，协议上的大量交易基本上依赖智能合约的自动执行。智能合约是DeFi协议中最重要的“基础设施”如果智能合约出现问题，其影响将是毁灭性的。”