Неизвестный хакер использовал $24 миллиона долларов в стейблкоинах из пулов DeFi-протокола Harvest Finance, чтобы вывести с платформы $19,8 миллиона в renBTC. Нативный токен проекта FARM отреагировал падением более чем на 50%.
По словам разработчиков, хакер манипулировал курсами стейблкоинов в DeFi-протоколе Curve, с которым взаимодействует Harvest Finance. На вывод средств с платформы ему потребовалось семь минут. Часть активов пропущена через миксер Tornado Cash.
Команда заявила, что вывела «100% стейблкоинов и BTC из стратегических фондов Curve» в хранилище. Вместе с Ren Protocol ей удалось идентифицировать адреса злоумышленника — с просьбой об их блокировке представители проекта обратились к ведущим биржам.
Также представители Harvest Finance сообщили, что злоумышленник вернул $2,47 миллиона. Их распределят среди пострадавших инвесторов.
Позже разработчики платформы заявили, что знают не только адреса злоумышленника, но и располагают личной информацией о нем. Хакер «хорошо известен в криптовалютном сообществе». Проект назначил награду в $100 000 баунти тому, кто первым свяжется с ним и поможет вернуть средства.
«Мы не заинтересованы в доксинге злоумышленника, уважаем ваше мастерство и смекалку, просто верните средства пользователям», — заявили представители проекта.
На фоне сообщений о взломе курс FARM упал с $232,74 до $76,95 меньше, чем за час.
Объем заблокированных средств в DeFi-протоколе Harvest Finance сократился с $1 миллиарда до $572,5 миллионов. На момент написания проект занимал восьмое место в рейтинге DeFi Pulse.
Данные: DeFi Pulse
По данным The Block, злоумышленник использовал Uniswap для мгновенных свопов — эта функция появилась во второй версии децентрализованной платформы.
На Curve хакер манипулировал стоимостью стейблкоинов. Он обменивал большое количество USDC на USDT для роста второй монеты, переводил полученную сумму на Harvest Finance. После этого повторял схему в обратном направлении — USDT на USDC для снижения цены стейблкоина Tether.
В результате из хранилища злоумышленник выводил больше USDT, чем вносил. Процесс можно было повторять бесконечно.
Столь активное использование платформ отразилось на их торговых объемах, которые с 25 октября выросли в несколько раз. Показатель Uniswap увеличился с $148 миллионов до $2 миллиардов — около 92% сгенерировано в парах USDT/ETH и USDC/ETH, а $5,76 миллионов получили поставщики ликвидности.
Данные: Uniswap
Торговый объем Curve вырос с $30 миллионов до $2,77 миллиардов. Более 97% пришлось на свопы USDT и USDC.
Незадолго до взлома аналитик Крис Блек заявил, что разработчики Harvest Finance держат ключи от протокола и с их помощью могут вывести пользовательские средства. Перед атакой объем активов в Harvest Finance превышал $1 миллиард, но за последние часы снизился на 35% — до $674 миллионов.