Harvest Finance publie un rapport après avoir perdu 24 millions de dollars

Partager l’article
EN BREF
  • Harvest Finance a publié un rapport post-mortem de l'attaque d'arbitrage du 26 octobre.

  • Près de 34 millions de dollars en valeur totale ont été perdus.

  • La TVL a chuté de 600 millions de dollars et les prix FARM sont en baisse de 58%.

The Trust Project est un consortium international d'organismes de presse basé sur des normes de transparence.

La dernière intrusion de Harvest Finance DeFi a généré un dénigrement écrasant de la part des experts crypto sur les réseaux sociaux. Cependant, il serait plus constructif de décomposer la situation pour savoir exactement ce qui s’est passé afin de limiter les attaques futures.



Le 26 octobre, le protocole DeFi Farming Harvest Finance a été vidé d’au moins 24 millions de dollars de liquidités par une attaque de prêt flash, comme l’avait rapporté BeInCrypto précédemment.

Le protocole a pris la responsabilité de ce qu’il a appelé une «attaque économique» et une «erreur d’ingénierie» et a fait d’un plan de remédiation pour les utilisateurs concernés sa priorité absolue.



Nous assumons la responsabilité de cette erreur d’ingénierie et veillons à ce que ces incidents soient atténués à l’avenir

Le rapport postmortem de Harvest Finance 

Dans un article de blog post-mortem, Harvest Finance décompose les événements qui ont conduit au vol de millions de dollars de fonds cryptos de ses pools de liquidités.

Le rapport expliquait que l’attaquant avait exploité des caractéristiques d’arbitrage et de perte impermanente qui influençaient la valeur des actifs individuels dans le pool Y de Curve Finance, où résidaient les fonds du coffre-fort.

Environ 18 millions USDT et 50 millions USDC provenaient d’Uniswap et ont été déployés dans le cadre du contrat d’attaque. Le contrat intelligent a converti l’USDT via un swap à l’intérieur du pool Y, créant une valeur plus élevée de l’USDC à l’intérieur du pool car les autres actifs ont subi une perte impermanente.

L’attaquant a également déposé l’USDC dans le coffre-fort USDC de Harvest, recevant un total de 51,4 millions de fUSDC à 0,97 USDC par action, diminuant la valeur des actions d’environ 1%. L’USDC a été reconverti en USDT via le pool Y pour obtenir la valeur initiale inférieure de l’USDC en raison du retour de l’effet de perte non permanent.

Le hackeur DeFi s’est ensuite retiré du coffre-fort USDC de Harvest, échangeant toutes les actions fUSDC contre un prix de l’action légèrement plus élevé alors que la valeur de l’USDC à l’intérieur du pool Y diminuait. L’USDC a été entièrement payé par le tampon du coffre-fort Harvest USDC, n’interagissant pas du tout avec le pool Y, pour dégager un bénéfice d’environ 620k en USDC.

Crédit flash

Ce processus a ensuite été exécuté 30 fois en sept minutes, rapportant à l’attaquant une somme modique d’environ 24 millions de dollars en USDT et USDC. Les cours des deux stablecoins ont chuté, ce qui a rendu la perte globale encore plus grande.

La valeur perdue est d’environ 33,8 millions de dollars, ce qui correspond à environ 3,2% de la valeur totale verrouillée dans le protocole au moment précédant l’attaque.

Il s’agissait d’une attaque d’arbitrage très sophistiquée – ce n’était pas un hack et aucun code de contrat intelligent n’a été compromis. Les crédits flash ne sont pas faciles à maîtriser, notion qui a été développée dans un résumé des événements;

Maîtriser les crédits flash, c’est comme passer à un tournoi de joutes du XIIe siècle sur une Harley Davidson à double maniement d’AK47 : personne ne s’y attend, la plèbe est détruite.

Harvest Finance s’efforce d’atténuer les futurs usages malveillants de crédit flash, mais le mal est déjà fait. Environ 600 millions de dollars de valeur totale verrouillée ont quitté le protocole au cours des dernières 24 heures selon DeFi Pulse et les tokens FARM ont perdu 58% au cours de la même période.

Share Article

The opinion of BeInCrypto staff in a single voice.

SUIVRE CET AUTEUR