Неизвестный злоумышленник использовал $24 млн в стейблкоинах из пулов DeFi-протокола Harvest Finance, чтобы вывести с платформы $19,8 млн в renBTC. Нативный токен проекта FARM отреагировал падением более чем на 50%.
По словам разработчиков, хакер манипулировал курсами стейблкоинов в DeFi-протоколе Curve, с которым взаимодействует Harvest Finance. На вывод средств с платформы ему потребовалось семь минут. Часть активов пропущена через миксер Tornado Cash.
The economic attack was performed through the curve y pool, stretching the price of the stablecoins in Curve out of proportion and depositing and withdrawing a large amount of assets through harvest.
To protect users, we’ve pulled y pool and btc curve strategy funds to the vault
— Harvest Finance (@harvest_finance) October 26, 2020
Команда заявила, что вывела «100% стейблкоинов и BTC из стратегических фондов Curve» в хранилище. Вместе с Ren Protocol ей удалось идентифицировать адреса злоумышленника — с просьбой об их блокировке представители проекта обратились к ведущим биржам.
To be specific: to protect users, 100% of Stablecoin and BTC curve strategy funds have been withdrawn from the strategy to the vault.
— Harvest Finance (@harvest_finance) October 26, 2020
Также представители Harvest Finance сообщили, что злоумышленник вернул $2,47 млн. Их распределят среди пострадавших инвесторов.
The attacker sent back $2,478,549.94 to the deployer in the form of USDT and USDC.
This will be distributed to the affected depositors pro-rata using a snapshot
— Harvest Finance (@harvest_finance) October 26, 2020
Позже разработчики платформы заявили, что знают не только адреса злоумышленника, но и располагают личной информацией о нем. Хакер «хорошо известен в биткоин-сообществе». Проект назначил награду в $100 000 баунти тому, кто первым свяжется с ним и поможет вернуть средства.
In addition to the BTC addresses which hold the funds, there is now a significant amount of personally identifiable information on the attacker, who is well-known in the crypto community.
We are putting out a 100k bounty for the first person or team to reach out to the attacker
— Harvest Finance (@harvest_finance) October 26, 2020
«Мы не заинтересованы в [simple_tooltip content=’Публикация личной или компрометирующей информации о человеке в интернете без его согласия.’]доксинге[/simple_tooltip] злоумышленника, уважаем ваше мастерство и смекалку, просто верните средства пользователям», — заявили представители проекта.
На фоне сообщений о взломе курс FARM упал с $232,74 до $76,95 меньше, чем за час.
Объем заблокированных средств в DeFi-протоколе Harvest Finance сократился с $1 млрд до $572,5 млн. На момент написания проект занимал восьмое место в рейтинге DeFi Pulse.
Торговые обороты Uniswap и Curve резко выросли на фоне взлома — с их помощью злоумышленник пытается отмыть похищенные средства. Но, судя по масштабам, этот всплеск может быть вызван не только FARM.
Незадолго до взлома аналитик Крис Блек заявил, что разработчики Harvest Finance держат ключи от протокола и с их помощью могут вывести пользовательские средства. Перед атакой объем активов в Harvest Finance превышал $1 млрд, но за последние часы снизился на 35% — до $674 млн.
⚠️Harvest Finance⚠️
• Still over $1 billion
• Still anon team with admin key that can drain funds
• Still unknown security of key
• Still blocking me on Twitter
• Still banning me from DiscordResponse: Trust them cuz $1 billion is «not useful…» and «don’t bother us…» pic.twitter.com/N443bnxkE9
— Chris Blec (@ChrisBlec) October 25, 2020
Напомним, взломавший биржу KuCoin хакер отправил на Ethereum-миксер Tornado Cash 11 520 ETH (~$4,8 млн) и успел партиями по 100 ETH смешать 2800 монет стоимостью около $1,16 млн. Монеты в Ethereum злоумышленник конвертировал через Uniswap и Kyber Network.
Добавить комментарий
Для отправки комментария вам необходимо авторизоваться.