Protocolo Harvest Finance é invadido e hacker devolve parte dos US$ 25 milhões roubados
Harvest Finance, protocolo de finanças descentralizadas (DeFi) desenvolvido por uma equipe anônima, foi explorado no início desta segunda-feira (26).
O invasor roubou US$ 24 milhões do Harvest e, em seguida, devolveu US$ 2,5 milhões ao protocolo por motivos desconhecidos.
Harvest é um protocolo de “yield farming” — recompensa um pool de formadores de mercado com um token nativo para incentivá-los a fornecer liquidez para um token específico —, parecido como YFI.
Coleta rendimentos de diferentes protocolos de empréstimos e otimiza o ganho máximo para devolvê-lo aos depositantes. O invasor do Harvest realizou um ataque de arbitragem usando um grande empréstimo-relâmpago.
Empréstimos-relâmpago são empréstimos sem garantia. Permitem que usuários peguem fundos emprestados de um pool de liquidez instantaneamente contanto que o dinheiro seja devolvido ao pool em um único pool de transação.
Empréstimos-relâmpago em invasões ao bZx
levantam críticas sobre o setor DeFi
O invasor do Harvest “manipulou os preços de um ativo (o pool Curve Y) para roubar outros ativos (fUSDT, fUSDC) diversas vezes”, afirmou Harvest Finance. “Em seguida, o invasor converteu os fundos em renBTC e ficou com BTC.”
Like other arbitrage economic attacks, this one originated with a large flashloan, and manipulated prices on one money lego (curve y pool) to drain another money lego (fUSDT, fUSDC), many times.
The attacker then converted the funds to renBTC and exited to BTC
— Harvest Finance (@harvest_finance) October 26, 2020
Resumindo, a manipulação de preço no Curve Y permitiu que o invasor roubasse os tokens Farm USDT (fUSDT) e Farm USDC (fUSDC) do Harvest. Em seguida, o invasor converteu esses tokens em renBTC e, por fim, em bitcoin.
RenBTC é um token lastreado em bitcoin usado na rede Ethereum.
Invasor “bem-conhecido na comunidade cripto”
Harvest forneceu alguns endereços de bitcoin do hacker e afirmou que existe uma “quantia significativa de informações pessoais identificáveis sobre o hacker, que é bem-conhecido na comunidade cripto”.
Mas Harvest não está “interessado em expor o invasor”. Em vez disso, anunciou um prêmio de US$ 100 mil para a primeira pessoa ou equipe que contatar o invasor.
In addition to the BTC addresses which hold the funds, there is now a significant amount of personally identifiable information on the attacker, who is well-known in the crypto community.
We are putting out a 100k bounty for the first person or team to reach out to the attacker
— Harvest Finance (@harvest_finance) October 26, 2020
Harvest também pediu que corretoras como Binance, Coinbase e Huobi bloqueassem os endereços do invasor.
O ataque veio um dia após o analista DeFi Chris Blec afirmar que Harvest é um protocolo centralizado, pois seus administradores possuem uma “chave de administrador que pode exportar os fundos”.
⚠️Harvest Finance⚠️
• Still over $1 billion
• Still anon team with admin key that can drain funds
• Still unknown security of key
• Still blocking me on Twitter
• Still banning me from DiscordResponse: Trust them cuz $1 billion is "not useful…" and "don't bother us…" pic.twitter.com/N443bnxkE9
— Chris Blec (@ChrisBlec) October 25, 2020
Hoje (26), Blec contou ao The Block que uma invasão interna não pode ser desconsiderada, pois “ninguém conhece melhor os contratos autônomos do que os desenvolvedores anônimos”.
“Nesses casos, um inteligente usuário DeFi não supõe que o que aconteceu era o que ele esperava que acontecesse. O inteligente usuário DeFi pensa que a pior coisa que poderia ter acontecido é o que aconteceu. Pensar de forma contraditória é a única maneira de estar a salvo nesse setor”, disse Blec.
Harvest Finance foi lançado em agosto e ainda tem quase US$ 569 milhões em depósitos de usuários em seu protocolo. Essa quantidade estava acima de US$ 1 bilhão logo antes do ataque, segundo DeFi Pulse que, no momento da publicação deste artigo, está fora do ar.
O preço do FARM, token nativo do Harvest, também despencou 57% desde a invasão, segundo o CoinGecko. Está sendo negociado a US$ 99.
Harvest afirmou que irá publicar um relatório “post-mortem” da invasão “dentro das próximas 16 horas”.