DeFi 技术尚未成熟、缺乏监管,很容易成为黑客眼中的「提款机」。

原文标题:《OKEx Insights:Harvest 被黑客盗走 3400 万刀,为何 DeFi 安全事件层出不穷?》
撰文:OKEx

又一个 DeFi 项目不幸被黑客盯上了。10 月 26 日,有用户发现 DeFi 挖矿项目 Harvest.finance 疑似遭到黑客攻击。黑客借用闪电贷,盗走近 3400 万美元。

Harvest 官方发推解释称,这次套利攻击起源于一笔巨额闪电贷,并多次操纵一个货币乐高(Curve y Pool)的价格,以耗尽另一个货币乐高(fUSDT、fUSDC)的资金。攻击者随后将资金转换为 renBTC 并套现。和其他闪电贷攻击一样,攻击者没有给出响应时间,连续 7 分钟进行攻击。攻击者以 USDT 和 USDC 的形式退回了 247 万美元,这将按比例分配给受影响的储户。

受攻击影响,AICoin 行情显示,Harvest 代币 FARM 26 日中午出现插针,暴跌近 60%。

OKEx Insights:Harvest 被盗 3400 万美元,DeFi 安全不容忽视

恐慌的用户急于将资产撤出 Harvest,另一方面,攻击者频繁的操作和套现行为,导致 Uniswap 和 Curve 的单日交易量创下了新高。据 Debank 数据显示,截至 10 月 27 日,Harvest 的锁仓量同样暴跌近 60%,Uniswap 和 Curve 的交易量却直冲云天。

OKEx Insights:Harvest 被盗 3400 万美元,DeFi 安全不容忽视

损失惨重的 Harvest 悬赏 10 万美金亡羊补牢,今天又提高到了 100 万美元,奖励首位成功和攻击者取得联系并帮助返还用户资金的个人 / 团队。项目方发推称,除了持有被盗资金的 BTC 地址,还获取了大量关于攻击者的个人身份信息,攻击者在加密社区颇为有名。

OKEx Insights:Harvest 被盗 3400 万美元,DeFi 安全不容忽视来源:twitter,OKEx Insights

开心农场不开心

Harvest.finance,听这名字就知道它和 Yearn.finance 一样,是一个 DeFi 收益聚合器。据官网介绍,Harvest 可以自动从最新的 DeFi 协议中挖出最高的产量,并使用最新的挖矿技术优化获得的产量。

fDAI,fUSDC 和 fWBTC 是抵押在 Harvest 中的稳定币,它们通过 Harvest 的算法自动进行流动性挖矿。如果用户存 USDC 到 Harvest 库中,Harvest 就会铸造相应数目的 fUSDC,用户也可以随时用它们赎回 USDC。

Harvest 的亮点主要是自动流动性挖矿和集中资金节省 gas 费,图标是一辆行驶在农田中的拖拉机,有人形象地称其为「开心农场」,恐怕这次事件让 Harvest 开心不起来了。

OKEx Insights:Harvest 被盗 3400 万美元,DeFi 安全不容忽视来源:harvest.finance,OKEx Insights

本次攻击黑客主要利用了去中心化交易所(DEX) Curve 的自动做市商(AMM)和 Harvest 的 fUSDT、fUSDC 来实现套利,黑客先用无需质押的闪电贷借出大量 USDC、USDT,然后通过在 Curve 上的交易改变这两种币的价格,最后利用 USDC 与 fUSDC 来回兑换的价差来实现套利。

DeFi 成黑客「提款机」

Harvest 当然不是第一个被攻击的 DeFi 项目,可能也不会是最后一个。检索新闻可以看到,仅近两个月中就发生过多起 DeFi 黑客攻击事件。

9 月 29 日,由 YFI 创始人 Andre Cronje 参与开发的 DeFi 项目 Eminence.finance 因协议漏洞,被黑客使用闪电贷攻击盗走 1500 万枚 DAI,黑客事后返还了 800 万美元。Andre 回应称,黑客利用的是协议本身一个简单的漏洞,通过这个漏洞黑客增发了很多项目代币 EMN,随后再将增发的 EMN 进行倾销。

YFI 的大热让 Andre 坐上币圈神坛,EMN 事件则给他的追随者们泼了一盆冷水。相比之下,bZx 遇到的黑客攻击结果是比较理想的。

9 月 14 日,DeFi 借贷协议 bZx 年内第三次遭到攻击,由于代码重复事故导致共计损失价值超 800 万的资产。两天后, bZx 发布报告指出,丢失的资产已经全部找回,并已存放至团队的钱包中,将恢复借贷池。另外,团队向漏洞报告者 MarcThelan 支付了 4.5 万美元的赏金,并准备和 PeckShield 制定一项计划,以重新检查该协议,在一些关键的区块链数据指标上进行实时监控。

Chainlink 的节点们就没那么幸运了,据 The Block 报道,八月底,九个 Chainlink 节点运营商遭到所谓「垃圾邮件攻击」,攻击者从他们的「热钱包」中获取了大约 700 枚 ETH。攻击者通过发送有效的价格请求,导致节点运营商不得不支付大量 gas 费。攻击者抬高这些预言机上的 gas 费用价格迫使他们以更高成本铸造用于支付 gas 费的代币 Chi,然后抛售 Chi 代币来获取 ETH。

警惕 DeFi 安全风险

为什么黑客钟爱 DeFi?究其原因,还是大量资金与尚不成熟的技术之间的矛盾。

今年是 DeFi 的崛起之年,新项目层出不穷,流动性挖矿更是吸引了大批投资者进场。但与此同时,DeFi 项目现阶段的技术难以兼顾去中心化本质和安全性、稳定性,也不乏部分项目为了赶上风口,带着合约漏洞就匆忙上场,结果自然是便宜了黑客。

另一个原因是加密资产界所共有的,缺乏监管,自然也不受法律保护,无法对黑客追究法律责任。

无论什么原因,最终承担损失的还是 DeFi 投资者。建议大家首先不要将鸡蛋放在一个篮子里,除了 DeFi 之外还可以布局 CEX 甚至传统金融等资产,多元化投资;其次可以购买一些靠谱的 DeFi 保险产品。

最后,我们在参与 DeFi 项目前,不要只盯着高收益,虽然没有计算机背景难以看懂代码,但可以动动手指查一查白皮书,以及智能合约是否通过权威机构的审计。如 OKEx CEO Jay Hao 所说:「DeFi 较为依赖智能合约,协议上大量的交易基本都是依赖智能合约自动执行,智能合约就是 DeFi 协议中最重要的一个『底层建筑』,如果智能合约出了问题,那么影响将是毁灭性的。」