Ontem, a indústria de DeFi foi abalada pela notícia de um hacker que conseguiu explorar o protocolo Harvest Finance usando empréstimos flash.
De acordo com o post-mortem do incidente da equipe da Harvest Finance, o invasor explorou o protocolo usando arbitragem e perda impermanente de USDC e USDT dentro do Y Pool e Curve.fi para realizar o hack.
A exploração do Harvest Finance levou apenas sete minutos, com o hacker saindo com US $ 24 milhões
A exploração causou uma perda total de $ 33,8 milhões para Harvest Finance, conforme explicado abaixo.
O preço das ações do cofre USDC diminuiu de 0,980007 para 0,834953, e o preço das ações do cofre USDT caiu de 0,978874 para 0,844812, resultando na redução de 13,8% 13,7%, respectivamente.
O valor perdido é de cerca de US $ 33,8 milhões, o que correspondeu a aproximadamente 3,2% do valor total bloqueado no protocolo na época anterior ao ataque.
Equipe de finanças da Harvest admite que cometeram um erro de engenharia
Menos de 24 horas após o ataque, a equipe da Harvest Finance admitiu que cometeu um erro de engenharia ao projetar o protocolo. Além disso, eles estão formulando um plano para remediar o problema para todos os usuários afetados do Harvest Finance. A equipe também solicitou que o invasor devolva os fundos para que os usuários sejam compensados.
O invasor provou seu ponto. Se eles puderem devolver os fundos aos usuários, será muito apreciado pela comunidade. Devolver os fundos aos usuários afetados é o foco.
Cometemos um erro de engenharia e o admitimos . Milhares de pessoas estão agindo como danos colaterais, então, humildemente solicitamos ao invasor que devolva os fundos ao implantador, onde serão distribuídos de volta para os usuários em sua totalidade.
Recompensa de $ 100k com o atacante deixando um rastro de migalhas de pão
A equipe de finanças da Harvest também afirma ter informações substanciais sobre o hacker e está oferecendo uma recompensa de $ 100.000 por qualquer indivíduo ou equipe que ajude a devolver os fundos. Se a devolução for feita em 36 horas, a recompensa aumentará para $ 400k.
Com relação à identidade do invasor, a equipe da Harvest Finance explicou que ele / ela fez várias transações em endereços de depósito conhecidos que pertencem à Binance . Eles também alertaram bolsas populares como Binance, Coinbase, Huobi, OKEx , Kraken e Bitfinex, para colocar na lista negra vários endereços de Bitcoin que foram usados para desviar fundos usando o renBTC.