Harvest Finance oferuje teraz już milion dolarów za pomoc w ujęciu sprawcy ataku, w wyniku którego z protokołu wyparowało niedawno aż 34 miliony dolarów. Jesteście zainteresowani?
W ubiegły weekend haker wyssał z puli płynności Harvest Finance ponad 34 miliony dolarów. Początkowo, za jego namierzenie, przewidziana była nagroda w wysokości 100 000 dolarów, ale nikt chętny się nie zgłosił. Potem „bounty” zwiększono do 4000 000 USD – niestety efekt był ten sam. Teraz nagroda wynosi już milion dolarów.
Jak doszło do ataku na Harvest Finance?
Atakujący wykorzystał pożyczkę błyskawiczną (flash loan), aby sztucznie obniżyć ceny stablecoinów Tether i USDC na Harvest – a następnie wyssać tokeny z puli płynności po okazyjnych cenach.
💵Increasing the bounty for tracking down the attacker and returning the funds to $1M
— Harvest Finance (@harvest_finance) October 29, 2020
Here’s what we know about the attacker:
1) understands flashloans
2) understands arbitrage and trading
3) understands curve internal code
4) understands renBTC
5) understands opsec
1/2
W rezultacie powyższego, zespół projektu DeFi zastanawia się teraz nad kilkoma zmianami, w tym ograniczeniu pożyczek błyskawicznych – które umożliwiają użytkownikom znającym się na technologii jednoczesne wpłacanie i wypłacanie środków, zwykle w celu arbitrażu cenowego, którym w istocie był ten atak. Harvest określił to jako „kradzież”, jako że zmanipulowano wartość aktywów.
Przyznając się do niedociągnięć protokołu, Harvest Finance nie przedstawił jeszcze planu rekompensat dla użytkowników. Stwierdził jednak, że „formułuje plan naprawczy dla użytkowników dotkniętych atakiem”. W międzyczasie skierował „apel o zwrot środków, aby można je było rozesłać z powrotem do użytkowników”.
W tweecie z 26 października Harvest zasugerował, że jego zespół wie, kim był napastnik, ale nie chce go potępić. Zaproponował nagrodę w wysokości 100 000 USD, a następnie 400 000 USD każdemu, kto mógłby przekonać tę osobę do zwrotu środków.
In addition to the BTC addresses which hold the funds, there is now a significant amount of personally identifiable information on the attacker, who is well-known in the crypto community.
— Harvest Finance (@harvest_finance) October 26, 2020
We are putting out a 100k bounty for the first person or team to reach out to the attacker
Nie przyniosło to oczekiwanego skutku. Stąd większa nagroda. Harvest przyznał również, że nie ma „twardego dowodu” tożsamości napastnika.
So you actually don’t know who it was and were just bluffing before? 🤡
— hedgedhog (@hedgedhog7) October 29, 2020
„Przestańcie pieprzyć!”
Jeśli wierzyć komunikatom od Harvest, jego plan zadośćuczynienia użytkownikom opiera się na odzyskaniu środków. Zgodnie z ogłoszeniem ze środy: „naszym głównym celem w 9 tygodniu jest odzyskanie funduszy od hakera i zmiany w ramach flash loan, które mogą wpłynąć na użytkowników”.
Trwają dyskusje na temat tego, czy reparacje powinny być wypłacane deponentom Tether i USDC za pośrednictwem tokena IOU. Jeśli to się nie powiedzie, deponenci będą musieli zapłacić za część straty z własnych środków.
Harvest stara się również, aby uniemożliwić wystąpienie podobnych ataków w przyszłości. Poprosił osiem głównych giełd o umieszczenie na czarnej liście adresów Bitcoin używanych przez hakera, czego przynajmniej jedna z nich nie chciała zrobić. Założyciel Kraken, Jesse Powell, napisał: „Przestańcie pieprzyć te bzdurne scamy DeFi i spodziewać się, że giełda was z tego wyciągnie. Nie zaakceptuję waszej próby uzewnętrznienia kosztów wynikającej z waszego pospiesznego i lekkomyślnego wdrożenia. „
Stop fucking up your bullshit DeFi scams and expecting exchanges to bail you out. I will not accept your attempt at externalizing the cost of your hasty, reckless rollout. Invest in audits, insurance and please DYOR. Taking your losses is the only way to enlightenment.
— Jesse Powell (@jespow) October 26, 2020