動區動趨-最具影響力的區塊鏈新聞媒體
  • Home
    • Home Layout 1
    • Home Layout 2
    • Home Layout 3
  • Browse
    • News
    • Movie
    • Music
    • Technology
    • Howto & Style
    • Entertainment
    • Gaming
  • Features
    • Youtube Video
    • Vimeo Video
    • Dailymotion Video
    • Self-hosted Video
    • User Profile
    • Playlists
    • User-created Playlist
    • Favorite Playlist (Private)
    • Watch Later Playlist (Private)
    • All JNews Features
No Result
View All Result
  • Login
  • Register
UPLOAD
動區動趨-最具影響力的區塊鏈新聞媒體
No Result
View All Result
Currently Playing

ABS獨家專訪》Gitcoin共同創辦人Scott:台灣是現實與Web3治理的重要交匯點

ABS獨家專訪》Gitcoin共同創辦人Scott:台灣是現實與Web3治理的重要交匯點

ABS獨家專訪》Gitcoin共同創辦人Scott:台灣是現實與Web3治理的重要交匯點

搶先看
ABS獨家專訪》Gate.io CEO韓林:無懼銀行進軍加密服務,台北特別有人情味

ABS獨家專訪》Gate.io CEO韓林:無懼銀行進軍加密服務,台北特別有人情味

搶先看

6 Sci-fi Gadgets in Movie We Wish Actually Existed

Movie

The 10 best games to play on your new PlayStation 4

Gaming

Tesla’s Chinese factory just delivered its first cars

News

安全專欄|DeFi 明星項目 Harvest 遭駭 2400 萬美元,攻擊細節簡單分析

2020 年 10 月 26 號中午 12 時 Harvest Finance 驚傳遭駭,官方稍後回應確認協議遭到駭客攻擊。駭客總計利用閃電貸奪走了約 2,400 萬美元的資金,並歸還了其中的 250 萬美元給合約部署者。本文將簡要分析此次閃電貸攻擊細節。本文由專欄作者 慢霧科技 SlowMist 撰稿,不代表動區立場。
(前情提要:10億美元危險了!DeFi超級明星「Harvest」遭遇閃電貸,Farm一小時暴跌60%)

 

2020 年 10 月 26 號,據消息 Harvest Finance 項目遭受閃電貸攻擊,損失超過 400 萬美元。

以下為筆者對此事件的簡要分析:

1/ 攻擊者通過 Tornado.cash 轉入 20 ETH 作為後續攻擊手續費。

2/ 攻擊者通過 Uniswap V2 閃電貸借出巨額 USDC 與 USDT。

3/ 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC,此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小。

4/ 隨後攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中,充值的同時 Harvest 的 Vault 將鑄出 fUSDC,而鑄出的數量計算方式如下:

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值,由於 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC。

5/ 之後再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常。

6/ 最後只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC。

7/ 隨後攻擊者開始重複此過程持續獲利。

其他攻擊流程與上述分析過程類似

  • 參考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877

總結

此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT…)在鑄幣時採用的是 Curve y 池中的報價(即使用 Curve 作為餵價來源),導致攻擊者可以通過巨額兌換操控外部的價格來控制 Harvest Finance 中 fToken 的鑄幣數量,從而使攻擊者有利可圖。

📍相關報導📍

KuCoin駭客再轉移「66.5萬美元以太幣」,已透過DEXs套現近2000萬鎂

Defi警示|駭客重現閃電貸手法,耗盡 Balancer 資金池超過 50 萬美元資產 (Bal)

什麼是「閃電貸 Flash Loan」?十幾秒內從借貸協議 bZx 狠賺 35 萬美元的 DeFi 策略


讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。

LINE 與 Messenger 不定期為大家服務

加入好友

加入好友

No Result
View All Result

近期文章

  • 精選文章搶先看!動區登入Access質押訂閱服務,解鎖寶貴資訊快人一步
  • ABS獨家專訪》Gitcoin共同創辦人Scott:台灣是現實與Web3治理的重要交匯點
  • ABS獨家專訪》Gate.io CEO韓林:無懼銀行進軍加密服務,台北特別有人情味
  • 快訊!BTC 現在已來到 58996.2
  • 快訊!BTC 現在已來到 58815.03
Next Post
規模空前巨大!Xapo錢包突發送「11億美元」比特幣交易,手續費僅不到4美元

規模空前巨大!Xapo錢包突發送「11億美元」比特幣交易,手續費僅不到4美元

Copyright (c) 2019 by Jegtheme.
  • About
  • Buy JNews
  • Request A Demo
  • Contact

Welcome Back!

Login to your account below

Forgotten Password? Sign Up

Create New Account!

Fill the forms below to register

All fields are required. Log In

Retrieve your password

Please enter your username or email address to reset your password.

Log In

Add New Playlist

- Select Visibility -

    No Result
    View All Result
    • Account
    • BlockTempo Beginner – 動區新手村
    • Change Password
    • Forgot Password?
    • Home 1
    • Home 2
    • Home 3
    • Jin-homepage
    • Latest
    • Login
    • Profile
    • Register
    • Reset Password
    • Trending
    • Users
    • Users List Item
    • 不只加密貨幣,談談那些你不知道的區塊鏈應用|動區新手村
    • 所有文章
    • 關於 BlockTempo

    © 2025 JNews - Premium WordPress news & magazine theme by Jegtheme.