使用“扫一扫”即可将网页分享至朋友圈。
首发 | Harvest.Finance攻击事件分析
流动性挖矿(Yield Farming)是近期DeFi领域中的最热话题,以各种食物为主题的流动性挖矿似乎每日都能凑成一桌饕餮盛宴,大爆炸式地将新的DeFi概念灌输给投资者与用户。
每天新的流动性挖矿项目都会出现,同时旧项目也在退出人们的视野。对于这些项目“新人哪闻旧人哭”的快速交替,身为以建立区块链健康安全生态为己任的CertiK,希望给大家带来更有价值的问题和答案:当我们在讨论流动性挖矿项目安全性的时候,讨论点和关注点都应该是什么?
安全这个话题难以简单概述,非细致的讲解不能窥探一二。
本文在此以Harvest.Finance为例,分析作为流动性挖矿项目其存在的安全风险。
Harvest.Finance,它的名字非常直观的说明了其设计意图 ——流动性挖矿。
该项目的代码已经开源,网站社区等也一应俱全。尽管Harvest.Finance的审计报告已公布,其项目中被审计部分的安全性目前可以被信任,但是这并不能说明Harvest.Finance的整体安全性得到了保障。
CertiK安全研究团队从该项目智能合约出发,发现了该项目中存在与其他类似流动性挖矿项目同样的问题:治理中心化,即许多关键操作只允许项目管理者来进行,没有任何对项目限制者的限制手段,例如:
图1:DelayMinter.sol
参考链接:
https://github.com/harvest-finance/harvest/blob/master/contracts/DelayMinter.sol
图2:Governable
参考链接:
https://github.com/harvest-finance/harvest/blob/master/contracts/Governable.sol
图3:Storage.sol
参考链接:
https://github.com/harvest-finance/harvest/blob/master/contracts/Storage.sol
图1中第102行起的函数executeMint()的功能是进行铸币操作,由于onlyGovernance的限制,使得只有于onlyGovernance许可的地址可以执行该函数,而onlyGovernance的定义来自于图2中14行与图3中27行的代码,最终从图3的28行可以看到所谓的“Governance”其实仅是指项目拥有者本身,并不是如名称所暗示指代一个管理委员会。
通过观察代码可以了解到,该项目的治理与重要操作的控制权都被项目管理者据有,中心化程度极高,而这一点明显违背了以去中心化为基本的流动性挖矿项目的本质。
即便项目管理者加入了一个延迟操作的功能,并设置了每一个铸币操作都需要提前公布给社区,这依旧无法从根本上解决问题。尤其是当Harvest.Finance项目把延迟的时间期限设置为12个小时,这也违背了大部分人的作息规律。
除了项目的治理中心化程度过高的通病,流动性挖矿项目同样存在被套利攻击的风险。
套利攻击是利用价格差进行低买高卖完成的以获利为目的的交易行为。已经发生过套利攻击的著名项目有Balancer和bZx。
10月26日Harvest.Finance项目也发生了套利攻击事件,损失超3380万美元。
对于此类攻击,需要弄清两个问题:
1. 发生套利攻击的条件是什么?
2. 为什么Harvest.Finance项目满足了这些条件?
发生套利事件需要的条件其实非常直观:可以完成低买高卖。
简化来说就是可以通过自己的交易或者操作来影响交易物的价格。
这种交易影响价格的手段可以是直接改变,也可以是改变交易物的数目来间接的影响价格。
流动性挖矿项目自身通过交易来铸币或者燃烧币的操作,十分容易满足改变交易物的操作要求。
一旦套利攻击者发现了可利用的攻击点,可以在没有风险的情况下当即利用闪电贷借取大额资金,将套利攻击的获利扩大。
图4:Harvest.Finance套利攻击的交易之一
参考链接:
https://etherscan.io/tx/0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877
图4所示交易是在此次发生于Harvest.Finance项目的套利攻击的其中一笔交易,攻击者通过查看该项目智能合约中控制铸造fUSDC代币数目的函数,发现铸造的代币数目依赖于其参考的Curve项目的计算公式,继而依靠闪电贷获得大量初始资金进行套利攻击。
攻击者的执行交易的流程大致如下:
1. 闪电贷借贷得到大笔USDC和USDT;
2. 利用借贷所得USDT通过Curve转换为USDC,提高USDC价格 ;
3. 将获得的USDC存入Harvest.Finance项目的USDC储藏室(vault)中, 同时Harvest.Finance会为该存入的行为攻击者铸造一定数目的fUSDC(铸造的数目受Curve影响);
4. 将初始借贷所得的USDC通过Curve转换为USDT,提高USDT的价格,同时USDC价格降低 ;
5. 最终攻击者将持有额所有fUSDC转换回USDC,此时因为Curve中的USDC价格降低,导致影响了兑换回USDC的数目增加。
最终攻击者利用类似操作,完成了14笔利用针对USDC的套利交易,然后利用同样的思路,针对USDT完成了另外13笔套利交易。
根据官方报告,计算了攻击者返还给项目的1300万USDC和11万USDT之后,总损失超过2亿人民币。
在Harvest.Finance这次的套利攻击事件中,攻击者通过影响USDC、USDT代币的价格来进行套利。
因此,项目代币价格不能简单的依赖于其相对数目,而应该稳定建立于实时、有效、可靠的价格提供系统之上。例如目前的chainlink的价格预言机便可以一定程度上解决此类隐患。
当讨论一个流动性挖矿项目的安全性时,不应仅仅简单的查看程序代码、智能合约的安全,而需要查看更加深层的、逻辑性的漏洞,例如治理中心化以及代币价格控制逻辑可能导致的套利攻击风险。
传统的代码审计并不适合包括流动性挖矿在内的区块链项目。
面对此类项目,需要有经验丰富的区块链项目专业审计人员,从传统代码审计、逻辑审计、金融模型审计等多角度对项目的安全进行逐步且完备的审核,才可确保项目的安全。
“广东财经网”的新闻页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与
我们联系删除或处理,客服邮箱1098101642@qq.com,稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同
其观点或证实其内容的真实性。
- 声音提醒
- 60秒后自动更新
【民政部回应何时恢复婚姻登记】民政部社会事务司二级巡视员杨宗涛表示,婚姻登记场所是人群聚集场所,部分地区暂停婚姻登记工作是对人民群众安全负责。未停止登记的地方推广用电话、网络、qq群预约登记,控制登记人数,分批分段登记,减少人员聚集和在登记机关停留时间。已停止婚姻登记地方将根据当地疫情控制情况逐渐恢复。
15:54欧洲央行副行长金多斯:欧洲央行还没有达到逆转利率。宽松政策的副作用更明显了。
15:54财经网站Forexlive分析师Justin Low评瑞士1月CPI月率:尽管通胀年率保持稳定,但核心通胀率有所下降,这一点令人更加担忧。这只是进一步巩固了瑞士央行维持现有货币政策不变,并可能在未来寻求更多宽松措施的观点。
15:54【武汉两大批发市场商户开业率超过80%】商务部市场建设司司长朱小良10日称,目前武汉生活必需品供应基本正常,除冷鲜肉、鲜叶菜等少数品种存在结构性短缺外,大部分重要生活物资供应充足,未发生明显抢购或脱销断档情况。当地白沙洲和四季美两大批发市场正常营业,商户开业率超过80%,日交易量上升至3000吨以上。(国是直通车)
15:53【日本2019年经常项目顺差增长4.4%】日本财务省10日发布的国际收支初步统计报告显示,主要受外国人入境游消费扩大影响,2019年日本经常项目顺差增长4.4%。报告显示,2019年日本经常项目顺差为20.06万亿日元(1美元约合109.8日元)。其中,商品贸易方面,由于液化天然气价格下跌等因素,进口下降5.6%至75.56万亿日元;由于汽车部件及钢铁等产品出口减少,出口下降6.3%至76.12万亿日元。货物贸易顺差减少53.8%,为5536亿日元。(新华社)
15:53欧元兑美元EUR/USD短线波动不大,现报1.0952。
15:53瑞士1月CPI年率:0.2%,前值:0.2%,预期:0.1%;瑞士1月CPI月率:-0.2%,前值:0%,预期:-0.2%。
15:52英镑兑美元GBP/USD短线走低13点,现报1.2890。
15:52【宁德时代“供电”国产特斯拉 有望拉低售价20%】全国乘联会秘书长崔东树分析认为,“随着特斯拉国产化率提升和产能爬坡,未来特斯拉国产车型的价格下探空间还是很大的。”他预计今年下半年,国产Model 3车型的售价就有望降至25万元,降幅接近20%。(新京报)
15:51【内蒙古:对不裁员或少裁员企业返还上年度50%失业保险费】据内蒙古新型冠状病毒肺炎疫情防控工作指挥部消息,疫情期间,内蒙古对不裁员或少裁员的企业返还上年度实际缴纳失业保险费的50%,对面临暂时性经营困难的中小企业,返还标准提高到上年度6个月企业及其职工缴纳社会保险费的50%。
15:51【商务部:2019年服务进出口总额54152.9亿元 同比增长2.8%】商务部新闻发言人表示,2019年,在服务贸易创新发展试点等政策的激励下,我国服务贸易总体保持平稳向上态势,逆差明显下降,结构显著优化,高质量发展成效初步显现。全年服务进出口总额54152.9亿元(人民币,下同),同比增长2.8%。其中,出口总额19564.0亿元,同比增长8.9%;进口总额34588.9亿元,同比减少0.4%。(第一财经)
15:51【振华股份:疫情导致下游客户开工推迟 产品库存上升】振华化学公告,公司目前生产经营稳定,所有产能均正常开工,原材料采购能基本满足生产需要,由于疫情导致下游客户开工推迟,公司出货量减少,产品库存有所上升。公司将根据客户需求、疫情及市场变化,适度调整生产经营策略,尽可能保持生产经营的稳定。
15:50环旭电子2月10日晚间公告,公司2020年1月合并营业收入为23.27亿元,较去年同期的合并营业收入减少27.83%,较2019年12月合并营业收入环比减少37.23%。
15:49精测电子:与京东方集团签订了多份销售合同,合同累计金额达到6.96亿元。
17:12华夏银行:银保监会同意本公司在全国银行间债券市场发行不超过100亿元人民币的金融债券,募集资金全部用于绿色信贷。
17:03