Токен Harvest Finance упал на -65% после атаки на TVL

По данным CoinGecko, возможный эксплойт в протоколе децентрализованных финансов (DeFi) Harvest Finance привел к падению собственного токена платформы, FARM, который обесценился в два с половиной раза всего за час.

Согласно сообщениям, появившимся рано утром в понедельник, из пулов Harvest Finance неизвестный злоумышленник списал более 25 миллионов долларов и обменял на renBTC (rBTC). Другие средства были смешаны с помощью Tornado Cash, программного обеспечения для обфускации транзакций Ethereum. После атаки, похоже, запаниковали инвесторы, которые вывели с платформы около 350 миллионов долларов. И их можно понять.

«Мы активно работаем над проблемой смягчения экономической атаки на пулы Stablecoin и BTC и будем обновлять эту ветку в режиме реального времени, как только станут доступны дополнительные сведения», - сообщила анонимная команда Harvest Finance в своем твите.

Команда также заявила, что «экономическая атака» стала возможной благодаря манипулированию ценами на стабильные монеты в Curve Finance, другом протоколе DeFi, с которым взаимодействуют контракты Harvest Finance.

Администраторы проекта заявляют, что вывели «100% of stablecoin and BTC curve strategy funds» (любой перевод будет не точным) в хранилище и «переходят к блокировке депозитов в хранилище Stablecoin и BTC», - сообщила команда Harvest в Discord проекта в 4:45 UTC.

Harvest Finance не ответил на вопросы журналистов.

Атака произошла после того, как аналитик DeFi Крис Блек заявил, что у администраторов Harvest Finance есть «административный ключ, который может истощать средства», заблокированный в контрактах протокола. По сути Блек предупредил пользователей о возможном экзит-скаме, которые происходят еженедельно, равно как и кражи в результате компрометации таких ключей. Но сегодняшняя кража в тысячи раз крупнее!

Harvest Finance

• Still over $1 billion
• Still anon team with admin key that can drain funds
• Still unknown security of key
• Still blocking me on Twitter
• Still banning me from Discord

Response: Trust them cuz $1 billion is "not useful..." and "don't bother us..." pic.twitter.com/N443bnxkE9

— Chris Blec (@ChrisBlec) October 25, 2020

«Я не пытаюсь закрыть Harvest Finance или FARM. Я пытаюсь объяснить пользователям, почему доверять свои с трудом заработанные деньги анонимному лицу - плохая идея. Если Harvest найдет способ децентрализации или сожжет свой ключ администратора, это полностью изменит ситуацию», - заявил тогда Блек в комментарии к своему посту-предупреждению.

На данном этапе эксплойта неясно, какую роль играет ключ администратора или анонимная команда, стоящая за протоколом, во внезапной утечке ресурсов.

Незадолго до того, как была раскрыта возможная уязвимость, Harvest Finance заблокировала общую стоимость (TVL) более 1 миллиарда долларов. По данным DeFi Pulse, стоимость TVL упала до 673 миллионов долларов по состоянию на 5:00 UTC.