Хакер вывел $19,8 млн с платформы Harvest Finance. Курс FARM упал на 50%

Неизвестный злоумышленник использовал $24 млн в стейблкоинах из пулов DeFi-протокола Harvest Finance, чтобы вывести с платформы $19,8 млн в renBTC. Нативный токен проекта FARM отреагировал падением более чем на 50%.

По словам разработчиков, хакер манипулировал курсами стейблкоинов в DeFi-протоколе Curve, с которым взаимодействует Harvest Finance. На вывод средств с платформы ему потребовалось семь минут. Часть активов пропущена через миксер Tornado Cash.

The economic attack was performed through the curve y pool, stretching the price of the stablecoins in Curve out of proportion and depositing and withdrawing a large amount of assets through harvest.

To protect users, we’ve pulled y pool and btc curve strategy funds to the vault

— Harvest Finance (@harvest_finance) October 26, 2020

Команда заявила, что вывела «100% стейблкоинов и BTC из стратегических фондов Curve» в хранилище. Вместе с Ren Protocol ей удалось идентифицировать адреса злоумышленника — с просьбой об их блокировке представители проекта обратились к ведущим биржам.

To be specific: to protect users, 100% of Stablecoin and BTC curve strategy funds have been withdrawn from the strategy to the vault.

— Harvest Finance (@harvest_finance) October 26, 2020

Также представители Harvest Finance сообщили, что злоумышленник вернул $2,47 млн. Их распределят среди пострадавших инвесторов.

The attacker sent back $2,478,549.94 to the deployer in the form of USDT and USDC.

This will be distributed to the affected depositors pro-rata using a snapshot

— Harvest Finance (@harvest_finance) October 26, 2020

Позже разработчики платформы заявили, что знают не только адреса злоумышленника, но и располагают личной информацией о нем. Хакер «хорошо известен в биткоин-сообществе». Проект назначил награду в $100 000 баунти тому, кто первым свяжется с ним и поможет вернуть средства.

In addition to the BTC addresses which hold the funds, there is now a significant amount of personally identifiable information on the attacker, who is well-known in the crypto community.

We are putting out a 100k bounty for the first person or team to reach out to the attacker

— Harvest Finance (@harvest_finance) October 26, 2020

«Мы не заинтересованы в [simple_tooltip content=’Публикация личной или компрометирующей информации о человеке в интернете без его согласия.’]доксинге[/simple_tooltip] злоумышленника, уважаем ваше мастерство и смекалку, просто верните средства пользователям», — заявили представители проекта.

На фоне сообщений о взломе курс FARM упал с $232,74 до $76,95 меньше, чем за час.

Часовой график FARM/USD от CoinGecko.

Объем заблокированных средств в DeFi-протоколе Harvest Finance сократился с $1 млрд до $572,5 млн. На момент написания проект занимал восьмое место в рейтинге DeFi Pulse.

Источник: DeFi Pulse.

По данным The Block, злоумышленник использовал Uniswap для мгновенных свопов — эта функция появилась во второй версии децентрализованной платформы.

На Curve хакер манипулировал стоимостью стейблкоинов. Он обменивал большое количество USDC на USDT для роста второй монеты, переводил полученную сумму на Harvest Finance. После этого повторял схему в обратном направлении — USDT на USDC для снижения цены стейблкоина Tether.

В результате из хранилища злоумышленник выводил больше USDT, чем вносил. Процесс можно было повторять бесконечно.

Столь активное использование платформ отразилось на их торговых объемах, которые с 25 октября выросли в несколько раз. Показатель Uniswap увеличился с $148 млн до $2 млрд — около 92% сгенерировано в парах USDT/ETH и USDC/ETH, а $5,76 млн получили поставщики ликвидности.

Источник: Uniswap.

Торговый объем Curve вырос с $30 млн до $2,77 млрд. Более 97% пришлось на свопы USDT и USDC.

Источники CoinGecko, The Block Research.

Незадолго до взлома аналитик Крис Блек заявил, что разработчики Harvest Finance держат ключи от протокола и с их помощью могут вывести пользовательские средства. Перед атакой объем активов в Harvest Finance превышал $1 млрд, но за последние часы снизился на 35% — до $674 млн.

⚠️Harvest Finance⚠️

• Still over $1 billion
• Still anon team with admin key that can drain funds
• Still unknown security of key
• Still blocking me on Twitter
• Still banning me from Discord

Response: Trust them cuz $1 billion is «not useful…» and «don’t bother us…» pic.twitter.com/N443bnxkE9

— Chris Blec (@ChrisBlec) October 25, 2020

Напомним, взломавший биржу KuCoin хакер отправил на Ethereum-миксер Tornado Cash 11 520 ETH (~$4,8 млн) и успел партиями по 100 ETH смешать 2800 монет стоимостью около $1,16 млн. Монеты в Ethereum злоумышленник конвертировал через Uniswap и Kyber Network.

Подписывайтесь на новости ForkLog в VK!