La última incursión del protocolo Harvest Finance de DeFi ha generado en los expertos en cripto de las redes sociales un abrumador desprecio. Sin embargo, sería más constructivo analizar la situación para averiguar exactamente qué sucedió a fin de mitigar futuros ataques.
El 26 de octubre, Harvest Finance, el protocolo de cultivo DeFi, perdió al menos 24 millones de dólares en liquidez a través de un ataque de préstamo flash según lo informado por BeInCrypto en ese momento.
El protocolo ha asumido la responsabilidad de lo que denominó “ataque económico” y “error de ingeniería” y ha hecho su máxima prioridad un plan de recuperación para los usuarios afectados.
“Asumimos la responsabilidad de este error de ingeniería y nos aseguramos de que tales incidentes se mitiguen en el futuro”.Post mortem de Harvest Finance En una publicación postmortem del blog, Harvest Finance desglosa los eventos que llevaron al vaciado de millones de dólares en fondos cripto de sus fondos de liquidez.
El informe explicó que el atacante aprovechó las características de arbitraje y pérdida temporal que influyeron en el valor de los activos individuales dentro del fondo Y de Curve Finance, donde residían los fondos de la bóveda.
Alrededor de 18 millones de USDT y 50 millones de USDC se obtuvieron de Uniswap y se implementaron en el contrato de ataque. El contrato inteligente convirtió el USDT a través de un intercambio dentro del grupo Y, creando un valor más alto de USDC dentro del grupo, ya que los otros activos incurrieron en una pérdida no permanente.
El atacante también depositó el USDC en la bóveda de USDC de Harvest, recibiendo un total de 51,4 millones de fUSDC a 0,97 USDC por acción, lo que redujo el valor de las acciones en aproximadamente un 1%. El USDC se volvió a convertir en USDT a través del grupo Y para obtener el valor original más bajo del USDC debido a la reversión del efecto de pérdida no permanente.
Luego, el atacante DeFi se retiró de la bóveda de USDC de Harvest intercambiando todas las acciones fUSDC por un precio de acción ligeramente más alto a medida que el valor del USDC dentro del grupo Y disminuyó. El USDC fue pagado en su totalidad por el búfer de la bóveda Harvest USDC, sin interactuar en absoluto con el grupo Y, para obtener una ganancia neta de alrededor de 620 mil en USDC.
Préstamo Flash Kung Fu Luego, este proceso se ejecutó 30 veces en siete minutos, lo que le dio al atacante una suma ordenada de alrededor de 24 millones millones en USDT y USDC. Los precios de las acciones de ambas bóvedas de stablecoins se desplomaron, lo que hizo que la pérdida general fuera aún mayor.
“El valor perdido es de aproximadamente 33,8 millones de dólares, que corresponde a aproximadamente el 3,2% del valor total bloqueado en el protocolo antes del ataque”.
Este fue un ataque de arbitraje muy sofisticado: no fue un hack y ningún código de contrato inteligente se vio comprometido. Los préstamos flash no son fáciles de dominar, una noción que se amplió en un resumen de los eventos:
“Dominar los préstamos flash es como aparecer en un torneo de justas del siglo XII con una AK47 de doble empuñadura en una Harley Davidson (NYSE:HOG); nadie se lo espera y la plebe gets rekt”.Harvest Finance está trabajando para mitigar futuras explotaciones de préstamos flash, pero el daño ya está hecho. Alrededor de 600 millones de dólares del valor total bloqueado han desaparecido del protocolo durante las últimas 24 horas según DeFi Pulse y los tokens FARM han caído un 58% en el mismo período.
El post Harvest comunica ataque postmortem después de perder $24 millones fue visto por primera vez en BeInCrypto.
Continúe leyendo en BeInCrypto
