Harvest Finance遭遇闪电贷攻击，损失近3400万美元

攻击事件概述

UTC时间周一凌晨，由匿名团队开发的去中心化金融（DeFi）协议Harvest Finance遭到攻击。根据Harvest事后发布的报告显示，攻击者从协议中窃取了3380万美元，随后又向协议返还了250万美元，原因不明。此前报道估计损失约为2400万美元。

Harvest是一个类似于YFI的收益耕作协议。它从不同的借贷协议中收集收益，并进行优化以实现最大收益，然后将收益返还给存款人。本次攻击者利用大额闪电贷实施了套利攻击。

闪电贷是一种无抵押贷款，允许用户从流动性池中即时借入资金，前提是资金必须在一个交易区块内返还。Harvest Finance表示："攻击者多次操纵Curve Y池的价格，以此耗尽另一个资金池（fUSDT、fUSDC）。随后攻击者将这些资金转换为renBTC并最终转换为比特币。"

简单来说，攻击者通过操纵Curve Y池的价格，得以从Harvest中耗尽Farm USDT（fUSDT）和Farm USDC（fUSDC）代币。renBTC是以太坊网络上使用的一种比特币支持代币。

Harvest提供了攻击者的一些比特币地址，并表示"攻击者拥有大量可识别身份信息，且在加密货币社区中颇有名气"。然而，Harvest表示"无意公开攻击者的身份"，反而为第一个联系到攻击者的个人或团队提供了10万美元的赏金。

Harvest已要求币安、Coinbase和火币等交易所封锁攻击者的地址。该攻击事件发生前一天，DeFi分析师Chris Blec曾指出Harvest是一个中心化协议，因其管理员持有"可以耗尽资金的管理密钥"。

就本次攻击事件，Blec表示不能排除内部作案的可能性，因为"没有人比匿名开发者更了解智能合约"。他强调："在这种情况下，聪明的DeFi用户不会假设他们希望发生的事情就是事实。他们会假设最坏的情况已经发生。在这种环境下，对抗性思维是保持安全的唯一方法。"

Harvest Finance于8月上线，目前仍有价值5.88亿美元的用户存款锁定在其协议中。根据DeFi Pulse的数据显示，在攻击发生前，该金额超过10亿美元。自攻击发生以来，Harvest的原生代币FARM的价格已暴跌约57%，目前交易价格约为101美元。

Harvest随后发布了一篇博客文章，详细说明了其应对措施，包括可能进行的用户体验更改以防止类似攻击再次发生。

首先，为防范基于闪电贷的攻击，团队正在探索一种存款的"提交-揭示"机制，这将使得在同一笔交易中进行存款和取款变得不可能。然而，这种用户体验更改可能会导致更高的gas费用。

目前3%的套利门槛不足以保护金库免受此类攻击，因此团队提议设置更严格的门槛。同时，团队也在探索与基础资产提款相关的解决方案。这两种解决方案都需要进行用户体验更改。

团队对此次攻击的影响承担责任，要求返还资金并请求帮助。他们为协助追回资金的第一个个人或团队提供了10万美元的赏金。如果在接下来的36小时内完成，赏金将增加至40万美元。同时，团队要求任何试图返还资金的人不要公开攻击者的身份。

"我们犯了一个工程错误，我们承认这一点，"Harvest的声明中表示。"数以千计的人成为附带损害，因此我们谦卑地请求攻击者将资金返还至部署者，届时资金将全额返还给用户。"

（本文已根据Harvest的后续报告更新信息）