
Разработчики заявили, что располагают значительным объемом информации о преступнике. По их словам, это хакер, который хорошо известен в криптосообществе.
Неизвестный хакер атаковал DeFi-протокол Harvest Finance, выведя из его пулов $25 млн, $2 млн из которых он затем вернул. После появления информации о взломе стоимость собственного токена проекта FARM обвалилась более чем на 50% и сейчас торгуется на уровне $112.
Читайте нас через соцсети , VK, FB
Harvest — это протокол доходного фермерства (yield farming), аналогичный yearn.finance. Он аккумулирует доходность по различным протоколам кредитования, оптимизируя ее для извлечения максимальной прибыли.
Для атаки на протокол использовался крупный флэш-кредит, с помощью которого был проведен арбитраж. Флэш-кредиты позволяют заимствовать до полной суммы свободной ликвидности по протоколу без залогового обеспечения, а затем использовать полученные активы для совершения иных операций.
Хакер использовал полученные активы для манипуляции с ценами стейблкоинов в DeFi-протоколе Curve Finance, с которым взаимодействует Harvest. В течение 7 минут он вывел вышеуказанную сумму средств из пулов Harvest, после чего обменял его на токены renBTC, часть из которых впоследствии была пропущена через миксер Tornado Cash.
Читайте также: Власти США оштрафовали оператора bitcoin-миксера Helix на $60 млн
За Harvest стоит анонимная команда разработчиков. На странице проекта в Twitter его представитель пояснил, что команда не успела отреагировать на взлом, потому что активы были выведены из протокола практически мгновенно. Однако теперь «100% стейблкоинов и BTC из стратегических фондов Curve» были выведены в защищенное хранилище.
Разработчики обнародовали несколько BTC-адресов, которые, по их словам, принадлежат преступнику, и попросили крупные криптовалютные биржи, такие как Binance и Huobi, заблокировать их. Они также сказали, что обладают «значительным объем информации о хакере, который хорошо известен в криптосообществе».
Разработчики отметили, что не заинтересованы в доксинге преступника. Вместо этого, они пообещали $100 тыс. тому, кто свяжется с хакером и «поможет ему вернуть средства на адрес развертывания».
Интересно, что ранее компания Haechi, которая провела аудит смарт-контракта Harvest, предупредила сообщество, что администрация проекта располагает инструментом, позволяющим в теории выводить из протокола пользовательские активы.
В разговоре с The Block аналитик Крис Блек отметил, что не исключает возможность «инсайдерской работы». Специалист подчеркнул, что «никто не знает смарт-контракт лучше, чем его разработчики».
«В таких ситуациях умный пользователь DeFi не предполагает, что случилось что-то, на что он рассчитывал. Умный пользователь предполагает, что случилось худшее из того, что вообще могло случиться. Враждебное мышление — единственный способ обезопасить себя в этой сфере», — сказал Блек.
Источник