bfmedia

Yükleniyor…
  • BTC $99.999
  • BCH $99.999
  • ETH $99.999
  • ETC $99.999
  • XRP $99.999
  • CVT $99.999
  • LTC $99.999
  • ADA $99.999
  • TRX $99.999
  • NEO $99.999

Harvest, 24 Milyon Dolarlık Arbitraj Sürecini Resmen Açıkladı

26 Ekim'de bilgisayar korsanları, Flaş kredisi kullanarak deFi protokolü Harvest’in kasasından 24 milyon dolar çaldı.

Harvest, 24 Milyon Dolarlık Arbitraj Sürecini Resmen Açıkladı
  • Özet
  • 26 Ekim 02: 53: 31'de, bir saldırgan Harvest Finance'ın USDC ve USDT kasalarından para çaldı.
  • Bu saldırı 10 adımda gerçekleştirilmiştir.
  • Fonların iade edilmesine yardımcı olan kişi ve ekiplere para ödülü teklif edildi.

26 Ekim'de bilgisayar korsanları, Flaş kredisi kullanarak deFi protokolü Harvest'in kasasından 24 milyon dolar çaldı. Harvest'in resmi analiz raporuna göre, flaş krediler, özellikle DeFi protokolünü içeren sadece bir parçasıydı. Spesifik olarak, DeFi protokolünün süreksizliğini de içerir.Saldırgandan sonra yaklaşık 2,5 milyon ABD Doları geri dönmesine rağmen, Hasat karşılaştığı kayıplar hala 20 milyon ABD dolarını (yaklaşık 33,8 milyon ABD belirleyen) aşmıştır. Harvest buna cevaben resmi olarak bir ödül teklifinde bulunarak bilgisayar korsanından parayı iade etmesini istedi.

Bu tür olayların gelecekte hafiflet sağlayacağız.


Neler oldu?

26 Ekim 02: 53: 31'de, bir saldırgan Harvest Finance'ın USDC ve USDT kasalarından para çaldı. Saldırganlar, Curve.fi Y havuzundaki kişisel varlıkları etkileyen arbitraj ve süreksiz kayıplardan yararlandı ve Curve.fi Y havuzu, Harvest Vault'un Yatırım yaptığında. Protokolün mekanizmaları bu tür saldırılara izin verir:

  • Harvest'in Tahvil stratejisi, Gerçeklerin bilgi bilgi temelindeki gerçek bilgide hesaplar. Hazine, para karşılığı elde etmek için para elde etmek için para hesaplamak. Kullanıcı kasadan para çektiklerinde, para çekerken alması gereken harcamayı hesaplamak için varlığın değerini de kullanmalar.
  • Bazı kasalardaki varlıklar (USDC ve USDT dahil), temeldeki DeFi protokolünün paylaşılan havuzunda mahkemede, Curve.fi'nin Y havuzu). Bu ortamlarındaki değişkenlikler, süreksiz zararlar, arbitraj ve kayma gibi piyasalardan etkilenecektir. Bu nedenle, çok kodla piyasa işlemi yoluyla manipüle edilebilir.

Saldırganlar, Curve.fi Y havuzunda USDC ve USDT'nin süreksizliğini defalarca ifade eden ifadeler. Harvest'ın kasasına para yatırmak için manipüle edilmiş kullanarak, kasada kendileri için faydalı bir fiyattan hisse aldılar ve ardından kasadan normal fiyattan çekildiler, böylece kar elde ettiler. Bu saldırının süreci aşağıdaki gibidir:

  1. Saldırganın cüzdan adresi şu şekildedir: 0xf224ab004461540778a914ea397c589b677e27b. 0xc6028a9fa486f52efd2b95b949ac630d287ce0af sözleşmesini dağıttılar. Bu sözleşmeyle saldırıyı 26 Ekim 2020 saat 02:53:31 UTC'de gerçekleştirdiler. Saldırı için kullanılan 10 ETH, Tornado işlemi 0x4b7b9e387a79289720a0226f695913d1d11dbdc681b7218a432136cc089363c4 ortamında gizlendi.
  2. Saldırının kendisi 0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877 işleminde başlatıldı.
  3. Saldırgan, Uniswap'ten ele sözleşmesine enjekte etmek için büyük olan USDT (18.308.555.417594) ve USDC (50.000.000) aldı.
  4. Y havuzundaki swap işlem ile 17.222.012.640506 USDT'yi USDC'ye çevirmektedir. Takasın etkisi, Y havuzundaki USDC'nin diğer varlıklardaki süreksiz kayıplar nedeniyle daha yüksek bir değere sahip olması. Bu akıllı sözleşme ile elde edilen miktar kabaca 17,216,703.208672 USDC'ye eşittir;
  5. Saldırgan, Harvest'ın USDC kasasına 49.977.468.555526 USDC yatırdı ve hisse başına başına 0.97126080216 USDC fiyatla 51.456.280.788906 USDC aldı. Saldırıdan önce, fUSDC'nin fiyatı 0.980007 USDC idi, bu karşılıyorum hisselerinin yaklaşık yüzde 1 oranında düşürdü. Hasat stratejisindeki arbitraj kontrolü yüzde 3 işlem işlem geri yüklenmedi.
  6. Saldırgan, 17239234.653146 USDC'yi Y havuzu üzerinden USDT ile değiştirildi.Sonuç olarak, kalıcı zarar etkisinin eski haline getirilmesi nedeniyle, Y havuzunda USDC'nin orijinal düşük değeri elde edildi. Saldırgan böylece 17.230.747.185604 USDT kurtardı.
  7. Saldırgan, Harvest'ın USDC kasasından çekti ve tüm fUSDC hiselerini 50596877.367825 USDC olarak geri aldı. Y havuzundaki USDC değerindeki düşüş nedeniyle, onun fUSDC'nin fiyatı 0.98329837664 USDC'dir. USDC tamamen Harvest'ın USDC kasası tarafından ödenir ve Y havuzuyla hiç temasime girmez. Bunu bir kez yaptığınızda, saldırganın net kârı (telsiz kredisi hariç) 619408.812299 USDC olur ve saldırgan bu süreci aynıde birkaç kez eder eder.
  8. Saldırgan, USDC kasasına karşı 4 dakika içinde 17 saldırı gerçekleştirdikten sonra, 0x0fc6d2ca064fc841bc9b1c1fad1fbb97bcea5c9a1b2b66ef837f1227e06519a6 işleminden başlayarak USDT kasasında karşı karşı 4 dakika içinde saldırı gerçekleştirdi. USDT kasasına 13 saldırıyı 3 dakika içinde tamamladı.
  9. 26 Ekim 2020 UTC saatiyle 03: 01: 48'de saldırgan 13.000.000 USDC ve 11.000.000 USDT'yi sözleşmesinden dolayı 0x3811765a53c3188c24d412daec3f60faad5f119b adresine bakın aktardı.
  10. Saldırgan daha sonra, 1761898.396474 USDC ve 718,914.048541 USDT'yi içeren 0x25119cd54a4562aa427d9770af383512f9cb5e8e4d17232ad96b69dc293a3510 işleminde fonların bir bölümü Hasatıcı ve geri aktardı.

Harvest Finance saldırıyı değerlendirip saldırı sırasında yeniden yapılandırdıktan sonra DAI, USDC, USDT, TUSD, WBTC ve renBTC dahil olmak üzere paylaşılan havuzdaki tüm fonları derhal geri çekti. Bu fonlar şu anda kasada ve artık piyasa manipülasyonundan etkilenmiyor. Saldırı DAI, TUSD, WBTC ve renBTC'yi içermediğinden bu kasaların depolama uygulamaları etkilenmedi.

Saldırının ardından USDC Vault hisselerinin fiyatı 0,980007'den 0,834953 USDC'ye düşerken, USDT Vault hisselerinin fiyatı 0,978874'ten 0,844812 USDT'ye düşerek yüzde 13,8 ve yüzde 13,7 düştü. Kullanıcı kayıplarının değeri yaklaşık 33.8 milyon ABD kayıpdır ve bu, saldırıdan önce sözleşmede kilitlenen toplam değerin yüzde 3.2'sine eşittir.

Saldırı ile ilgili işlem günlüğü, saldırganın adresini görebilir: 0xf224ab004461540778a914ea397c589b677e27b

Sonraki adım

Harvest Finance Anlaşması, tüm çiftçiler için sürekli gelir sağlamak için gerekli olan bir haftalık programa sahiptir. 27 Ekim 2020'deki emisyon planına göre, Harvest Finance ekibi 1.637.46 FARM tokeninin basıldığını duyurdu. Bilgi için talep etmek üzere, başlangıçta 27 Ekim'de yayınlanması planlanan taahhütname planı, saldırı bağlamında yeniden yazı için ertelenecek. Kasadaki paylaşılan havuzda kullanılan fonlar, bu tür saldırılar için azaltma önlemleri alınana kadar stratejiden çekilmeye devam edilir. Bu amaçlanan ve uygulanmak üzere uygulanmak üzere yayınlanacak altyapı, ekibin bir sonraki geliştirme odağı olacak.

Gelecekte engel önlemleri

Harvest Finance ekibi, olası azaltma stratejilerini değerlendirmeye ve bu stratejileri ve gelecek sürümde bir kullanıcı deneyimi deneyimlerini uygulamaktadır. Yeni kasanın yükseltilebilir özelliklerinden ve zaman kilitlerine, stratejilerinin değiştirilmesinden yararlanacak ve sürülmeden önce azaltma stratejilerini toplulukla iyi bir şekilde iletecek . Olası aşağıda belirtilenleri içerir:

Para yatırma ve görüntüleme mekanizmasını kullanmak.

Bu, tek bir işlemde para yatırma ve çekme kaldıracak, böylece flaş kredilere karşı saldırılar gerçekleştirilemez hale gelecektir. Kullanıcı söz konusu olduğunda, bu, para yatırma süresi boyunca token'larının bir işlemde Harvest'e aktarılacağı gelir. Kullanıcı daha sonra hisselerini başka bir talep işlemde, farklı bir blokta talep edecekler. Bu, kullanıcı deneyiminde bir yazı oluşturacak ve daha yüksek ancak yine de kabul edilebilir gaz maliyetlerine yol açabilir.

Mevcut mevduat arb denetim stratejisinin daha katı bir konfigürasyonu.

Mevcut eşik yüzde 3 olarak ayarlandı, bu tür kasayı bu tür saldırılardan korumak değildir. Daha katı bir eşik, bu saldırıyı ekonomik olarak imkansız hale getirebilir, ancak doğal bir süreksizlik kaybı etkisi olması durumunda mevduatları kısıtlayabilir. Pazar günkü olay 7 dakikayı aştı, bu da bu önlemin yeterince etkili olmadığını gösteriyor. 

Bu Diğer önlemlerin Tamamlayıcı Olarak görülmüştür.

Temel sağlıkların geri çekilmesi.    

Kullanıcılar, paylaşılan bir havuz (Y havuzu gibi) kullanan bir kasaya para yatırdıklarında, aktif bir havuz varlıkları (yCurve gibi) ile değiştireceklerdir. Sadece varlıkları çekerlerse, piyasada mevcut olan para portföylerine takas edebilirler. Piyasa manipüle edilirse, işlemler de manipüle edilecek ve bu da saldıran kuruluşun kar elde etmesini engelleyecektir. Sıradan ortaya çıktığında, yCRV teklif edildikten sonra ayrı bir işlemde dönüştürülebilir. Bu, UX gerektirmesine rağmen, anlaşmaya fayda sağlayabilir. Bu yöntemin dezavantajı, hazine mekanizmasını şu andada kullanım olan stratejiye bağlamasıdır: bir strateji,

Varlık belirlemek için oracle'ları kullanmak.

Yaklaşık bir satış fiyatı, harici bir oracle'dan (Chainlink veya Maker tarafından) etkin bir şekilde belirlenebilse, gerçek hisse fiyatı ile çok bağlantılı bir ilişkilidir. Temel DeFi iletişim sorumlusu teklifinden farklıysa, kasa ücretsiz arbitraj ve flaş kredileri saldırılarıyla karşı kalacaktır. Bu Harvest'in çözümü değil, ancak sistem tasarımında ve olası azaltma stratejilerinde oracle'ların yardımcı yüklenecek.

USDC ve USDT fonlarını kaybeden kurutmak için çözümler

  • Saldırganın iade edilen fonlarını dağıtmak için anlık görüntüler ve MerkleDistributor, bu araçların oluşturulmasına yardımcı olan geliştiricilerle deneyime geçildi ve çalıştırılabilecek bir altyapı oluşturmak için çalışıldı. Fon tahsisi en önemli önceliktir. Araç oluşturulduktan sonra, fonların hakkında daha fazla ayrıntı ayrıntı olacaktır.
  • Diğer çözüm yöntemleri analiz edilecek ve yönetişimde oylanacaktır. 

Saldırgan bilgileri ve ödül 

  1. Saldırgan, bu saldırıyı öğrenciler için yeni görün Ethereum adresi 0xf224ab004461540778a914ea397c589b677e27bb'yi ifade etti.
  2. Tornado işlemi 0x4b7b9e387a79289720a0226f695913d1d11dbdc681b7218a432136cc089363c4.
  3. Saldırı, 0x35F8D2F572FCEAAC9288E5D46211780EF2694786992A8C3F6D02612277B0877 işleminde başlatıldı.
  4. Saldırgan, Bitcoin'i REN protokolü üzerinden aşağıdaki adrese iletti:
  • 1Paykw4s2WX4SaVjDrQkwSiJr16AiANhiM
  • 1HLG86DDEzAxAGmEzxr1SUfPCWcnWA6bMm
  • 14stnrgMFNR4LesqQRUdo5n1VUx9xdAMeg
  • 18w2Bm2cCsbLjWQU9BcnjzK8ErmzozrVa3
  • 1FS2t2eAjmjaNmADN6SMHYo7G4XGpX1osS
  • 1NdAJ89k1qpRMpZLwuYGQ7VnM45xD2NJXa
  • 1CLHhshrusvT4XADWA29R2H4ndsSUamEWn

     5. Para iadesine yardımcı olacak ilk kişiye veya ekibe 100 bin dolar ödül verilecektir.

     6. Geri ödeme önümüzdeki 36 saat içinde tamamlanır, ödül 400 bin dolar olur. Tüm çabaların, saldırganları aramaya değil, kullanıcı parasının dağıtıcılara iade edilmesine sağlamaya şiddetle tavsiye ederiz.

Flaş kredisi saldırganları hakkında bilgiler:

Saldırganlar düşüncelerini kanıtladılar. Fonları geri iade edilebilirlerse, tüm kesimleri minnettar olacaktır.Fonların geri gönderilmesi istenir.

Bir mühendislik hatası yaptık ve bunu kabul ettik. Binlerce insan iletiye uğradı, bu yüzden saldırgandan fonları dağıtıcıya iade etmesini ve ardından tüm fon tahsis edildiğinde.


Bilgisayar korsanı (hacker)    nedir? 

Bilgisayar korsanı (hacker) nedir? Bilgisayar korsanı (hacker) kişisel bilgisayarlara ya da çeşitli kurum ve kuruluşlara ait bilgisayarlara ve ağlara izinsiz olarak giriş yapan kişilerdir.

Hacker Türleri

  • Hacktivist
  • Siyah yemek
  • Beyaz Çift
  • Gri Den
  • Yazılım korsanı
  • Phreaker
  • Senaryo kiddie
  • Lamer




Kaynak: 8btc.com

Harvest hacker


Yorumlar (0)

Henüz hiç yorum yapılmamış. İlk yorum yapan sen ol.






FİZİKSEL MAĞAZALAR

Coinsfera
Coinsfera Görseli
Çemberlitaş Tramvay Durağı (T1)
Sirius Coin
Sirius Coin Görseli
Beyazıt - Kapalıçarşı Tramvay Durağı (T1)


ÜLKELERİN YASALLIK DURUMLARI