Хакер вывел $19,8 млн с платформы Harvest Finance. Курс FARM упал на 50%

Неизвестный злоумышленник использовал $24 млн в стейблкоинах из пулов DeFi-протокола Harvest Finance, чтобы вывести с платформы $19,8 млн в renBTC. Нативный токен проекта FARM отреагировал падением более чем на 50%.

По словам разработчиков, хакер манипулировал курсами стейблкоинов в DeFi-протоколе Curve, с которым взаимодействует Harvest Finance. На вывод средств с платформы ему потребовалось семь минут. Часть активов пропущена через миксер Tornado Cash.

Команда заявила, что вывела «100% стейблкоинов и BTC из стратегических фондов Curve» в хранилище. Вместе с Ren Protocol ей удалось идентифицировать адреса злоумышленника — с просьбой об их блокировке представители проекта обратились к ведущим биржам.

Также представители Harvest Finance сообщили, что злоумышленник вернул $2,47 млн. Их распределят среди пострадавших инвесторов.

Позже разработчики платформы заявили, что знают не только адреса злоумышленника, но и располагают личной информацией о нем. Хакер «хорошо известен в биткоин-сообществе». Проект назначил награду в $100 000 баунти тому, кто первым свяжется с ним и поможет вернуть средства.

«Мы не заинтересованы в [simple_tooltip content=’Публикация личной или компрометирующей информации о человеке в интернете без его согласия.’]доксинге[/simple_tooltip] злоумышленника, уважаем ваше мастерство и смекалку, просто верните средства пользователям», — заявили представители проекта.

На фоне сообщений о взломе курс FARM упал с $232,74 до $76,95 меньше, чем за час.

Часовой график FARM/USD от CoinGecko.

Объем заблокированных средств в DeFi-протоколе Harvest Finance сократился с $1 млрд до $572,5 млн. На момент написания проект занимал восьмое место в рейтинге DeFi Pulse.

Источник: DeFi Pulse.

По данным The Block, злоумышленник использовал Uniswap для мгновенных свопов — эта функция появилась во второй версии децентрализованной платформы.

На Curve хакер манипулировал стоимостью стейблкоинов. Он обменивал большое количество USDC на USDT для роста второй монеты, переводил полученную сумму на Harvest Finance. После этого повторял схему в обратном направлении — USDT на USDC для снижения цены стейблкоина Tether.

В результате из хранилища злоумышленник выводил больше USDT, чем вносил. Процесс можно было повторять бесконечно.

Столь активное использование платформ отразилось на их торговых объемах, которые с 25 октября выросли в несколько раз. Показатель Uniswap увеличился с $148 млн до $2 млрд — около 92% сгенерировано в парах USDT/ETH и USDC/ETH, а $5,76 млн получили поставщики ликвидности.

Источник: Uniswap.

Торговый объем Curve вырос с $30 млн до $2,77 млрд. Более 97% пришлось на свопы USDT и USDC.

Источники CoinGecko, The Block Research.

Незадолго до взлома аналитик Крис Блек заявил, что разработчики Harvest Finance держат ключи от протокола и с их помощью могут вывести пользовательские средства. Перед атакой объем активов в Harvest Finance превышал $1 млрд, но за последние часы снизился на 35% — до $674 млн.

Напомним, взломавший биржу KuCoin хакер отправил на Ethereum-миксер Tornado Cash 11 520 ETH (~$4,8 млн) и успел партиями по 100 ETH смешать 2800 монет стоимостью около $1,16 млн. Монеты в Ethereum злоумышленник конвертировал через Uniswap и Kyber Network.

Подписывайтесь на новости ForkLog в VK!