Harvest Finance admite que un ”error de ingeniería” llevó a un robo de 24 millones de dólares
El informe post mortem prometió que los usuarios afectados serían compensados
Harvest Finance es un protocolo de rendimiento de finanzas descentralizadas que permite a los usuarios obtener rendimientos máximos mediante la aplicación de estrategias de inversión en proyectos DeFi. Sin embargo, la agricultura de rendimiento sigue siendo experimental y los contratos inteligentes conllevan riesgos, como se demostró ayer.
El ataque tuvo lugar el 26 de octubre a las 02:53:31 UTC cuando el atacante robó un total de 24 millones de dólares de las bóvedas de Harvest Finance en USDC y USDT, manipulando el valor de los activos dentro del pool Y de Curve.fi. El atacante explotó un arbitraje y ocasionó una pérdida usando un gran préstamo flash.
El informe post mortem de Harvest Finance, publicado anoche, detalló cómo el atacante usó las operaciones de mercado con un gran volumen para disminuir el precio de las acciones de fUSDC en aproximadamente un 1%. Sin embargo, como el control de arbitraje dentro de la estrategia de Harvest no superó el umbral del 3%, no revirtió la transacción.
Después de 17 transacciones de ataque a la bóveda de USDC, el atacante repitió el proceso para la bóveda de USDT, tardando un total de siete minutos, aunque luego devolvió casi 2,5 millones de dólares al deploy de Harvest.
El ataque causó que el precio de las acciones de USDC cayera un 13,8% y el de la bóveda de USDT un 13,7%. Harvest Finance estimó una pérdida del 3,2% del valor total bloqueado en el protocolo, y los datos de CoinGecko muestran que FARM, el token nativo de Harvest Finance, cayó un 58% de 232,78 a 96,90 dólares en las tres horas siguientes al ataque.
En respuesta, Harvest Finance ha asumido la responsabilidad del error de ingeniería que permitió que se produjera el ataque y están trabajando en compensar a los usuarios afectados como prioridad máxima. También están retrasando las mejoras del contrato inteligente, cuya publicación está prevista para hoy, hasta que se haya reevaluado su seguridad.
El equipo está estudiando ahora estrategias de mitigación para el futuro, como un umbral más estricto para la comprobación del arbitraje, utilizando oráculos para determinar el precio de los activos, y la aplicación de un mecanismo de compromiso y revelación de depósitos, lo que significaría que los usuarios ya no podrían realizar depósitos y retiros en una sola transacción.
Harvest Finance dijo que no tenía ningún interés en encontrar al atacante, pero ofreció una recompensa de 100000 dólares por la primera persona o equipo que ayudara a devolver los fondos, o una recompensa de 400000 dólares si la devolución se produce en las próximas 36 horas.
Sin embargo, algunos en la comunidad de criptomonedas piensan que los desarrolladores de Harvest Finance pueden estar realmente involucrados en el ataque. El analista de DeFi, Chris Blec, señaló el domingo que Harvest Finance estaba dirigido por un equipo anónimo con una clave de administración que podría ser utilizada para drenar los fondos.