В блоге Harvest Finance разработчики рассказали, как злоумышленнику удалось украсть резервы USDC и USDT из хранилищ. Команда проекта также опубликовала обновленную информацию о долларовой стоимости украденных криптоактивов. Ранее предполагалось, что хакерам удалось вывести $25 млн, однако сумма ущерба в итоге составила $34 млн.
Злоумышленник выдал себе быстрые кредиты, которые позволили ему временно манипулировать резервами Harvest Finance, хранящимися в протоколе Curve. Быстрые кредиты привели к снижению стоимости USDT и USDC на Harvest, что позволило злоумышленнику покупать криптоактивы гораздо дешевле их реальной цены. Таким образом, хакер погасил кредиты и получил дополнительную прибыль.
Атака привела к резкому падению стоимости токена Harvest Finance FARM. Согласно данным CoinMarketCap, его цена упала с $242 в воскресенье до $100 на текущий момент.
«Мы допустили инженерную ошибку, и мы признаем ее», – заявила команда Harvest Finance в блоге.
Для предотвращения подобных атак в будущем, разработчики предложили несколько решений. Во-первых, сделать невозможным внесение и снятие средств в рамках одной транзакции, т.е. устранить функционал быстрых кредитов. Во-вторых, добавить преобразование вывода токенов Curve в стейблкоины в отдельных транзакциях, что позволит минимизировать ущерб от быстрого кредита.
Создатели протокола планируют устранить уязвимость в ближайшее время и просят хакеров пойти навстречу. В социальной сети Twitter разработчики проекта написали:
«Для злоумышленника: вы доказали свою точку зрения, если вы можете вернуть деньги пользователям, это будет высоко оценено сообществом, включая многих сторонних наблюдателей DeFi».
Harvest Finance предлагает вознаграждение в размере $100 000 человеку, который убедит злоумышленника вернуть криптоактивы, или $400 000, если это произойдет в ближайшие дни.