Хакер похитил $25 млн из DeFi-протокола Harvest Finance — токен обвалился на 50%

Разработчики заявили, что располагают значительным объемом информации о преступнике. По их словам, это хакер, который хорошо известен в криптосообществе.

Неизвестный хакер атаковал DeFi-протокол Harvest Finance, выведя из его пулов $25 млн, $2 млн из которых он затем вернул. После появления информации о взломе стоимость собственного токена проекта FARM обвалилась более чем на 50% и сейчас торгуется на уровне $112.

Читайте Bloomchain через любимые соцсети: Telegram, VKFB

Курс токена FARM. Источник: CoinMarketCap

Harvest — это протокол доходного фермерства (yield farming), аналогичный yearn.finance. Он аккумулирует доходность по различным протоколам кредитования, оптимизируя ее для извлечения максимальной прибыли. 

Для атаки на протокол использовался крупный флэш-кредит, с помощью которого был проведен арбитраж. Флэш-кредиты позволяют заимствовать до полной суммы свободной ликвидности по протоколу без залогового обеспечения, а затем использовать полученные активы для совершения иных операций.  

Хакер использовал полученные активы для манипуляции с ценами стейблкоинов в DeFi-протоколе Curve Finance, с которым взаимодействует Harvest. В течение 7 минут он вывел вышеуказанную сумму средств из пулов Harvest, после чего обменял его на токены renBTC, часть из которых впоследствии была пропущена через миксер Tornado Cash. 

Читайте также: Власти США оштрафовали оператора bitcoin-миксера Helix на $60 млн

За Harvest стоит анонимная команда разработчиков. На странице проекта в Twitter его представитель пояснил, что команда не успела отреагировать на взлом, потому что активы были выведены из протокола практически мгновенно. Однако теперь «100% стейблкоинов и BTC из стратегических фондов Curve» были выведены в защищенное хранилище. 

Разработчики обнародовали несколько BTC-адресов, которые, по их словам, принадлежат преступнику, и попросили крупные криптовалютные биржи, такие как Binance и Huobi, заблокировать их. Они также сказали, что обладают «значительным объем информации о хакере, который хорошо известен в криптосообществе». 

Разработчики отметили, что не заинтересованы в доксинге преступника. Вместо этого, они пообещали $100 тыс. тому, кто свяжется с хакером и «поможет ему вернуть средства на адрес развертывания».

Интересно, что ранее компания Haechi, которая провела аудит смарт-контракта Harvest, предупредила сообщество, что администрация проекта располагает инструментом, позволяющим в теории выводить из протокола пользовательские активы.

В разговоре с The Block аналитик Крис Блек отметил, что не исключает возможность «инсайдерской работы». Специалист подчеркнул, что «никто не знает смарт-контракт лучше, чем его разработчики». 

«В таких ситуациях умный пользователь DeFi не предполагает, что случилось что-то, на что он рассчитывал. Умный пользователь предполагает, что случилось худшее из того, что вообще могло случиться. Враждебное мышление — единственный способ обезопасить себя в этой сфере», — сказал Блек.

← Назад Поделиться:

Рекомендации

Хакеры вывели из пула DeFi-протокола Pickle Finance практически $20 млн в токенах DAI

Aртем Галунoв2 мин
Хакер атаковал проект Akropolis и вывел из его пула $2 млн в стейблкоинах DAI

Ранее Akropolis прошел два независимых технических аудита — ни одна из проверок не выявила векторы атаки, которые использовались при взломе.

Aртем Галунoв2 мин

Huobi инвестировала в ориентированный на DeFi страховой проект

Стартап получил финансирование сразу от нескольких крупных компаний.

Евгения Лиходей2 мин

В 2020 году хакеры вывели из DeFi-протоколов практически $100 млн

На DeFi-проекты пришлась примерно половина всех хакерских атак в криптовалютной отрасли.

Aртем Галунoв4 мин

Хакер похитил из пулов Balancer свыше $500 тыс. в криптовалюте

Преступник использовал механизм дефляции, встроенный в токены Statera (STA). Ему удалось вывести из смарт-контракта Balancer токены WETH, WBTC, SNX и LINK.

Aртем Галунoв2 мин

Хакер получил доступ к личным данным клиентов криптобиржи Liquid

Преступнику удалось взять под контроль несколько внутренних адресов электронной почты Liquid и «частично скомпрометировать» инфраструктуру биржи. Пользовательские активы не пострадали.

Aртем Галунoв2 мин