USD:首發 | Harvest.Finance攻擊事件分析_區塊鏈

流動性挖礦(YieldFarming)是近期DeFi領域中的最熱話題，以各種食物為主題的流動性挖礦似乎每日都能湊成一桌饕餮盛宴，大爆炸式地將新的DeFi概念灌輸給投資者與用戶。

每天新的流動性挖礦項目都會出現，同時舊項目也在退出人們的視野。對于這些項目“新人哪聞舊人哭”的快速交替，身為以建立區塊鏈健康安全生態為己任的CertiK，希望給大家帶來更有價值的問題和答案：當我們在討論流動性挖礦項目安全性的時候，討論點和關注點都應該是什么？

安全這個話題難以簡單概述，非細致的講解不能窺探一二。

本文在此以Harvest.Finance為例，分析作為流動性挖礦項目其存在的安全風險。

Harvest.Finance，它的名字非常直觀的說明了其設計意圖——流動性挖礦。

該項目的代碼已經開源，網站社區等也一應俱全。盡管Harvest.Finance的審計報告已公布，其項目中被審計部分的安全性目前可以被信任，但是這并不能說明Harvest.Finance的整體安全性得到了保障。

百度Apollo首發 “Apollo 001”系列紀念數字藏品:金色財經報道，據百度Apollo智能駕駛官方公眾號，百度Apollo全網首發首款 “Apollo 001”系列紀念數字藏品，以百度汽車機器人為主體形象，每款對應一個百度Apollo自動駕駛重要里程碑事件。據悉，該數字藏品將于2022年7月8日 09:55發布汽車機器人家族全家福空投款。[2022/7/7 1:58:19]

CertiK安全研究團隊從該項目智能合約出發，發現了該項目中存在與其他類似流動性挖礦項目同樣的問題：治理中心化，即許多關鍵操作只允許項目管理者來進行，沒有任何對項目限制者的限制手段，例如：

圖1：DelayMinter.sol

參考鏈接：

https://github.com/harvest-finance/harvest/blob/master/contracts/DelayMinter.sol

LBank藍貝殼于5月3日20:00首發 CSPR(Casper)，開放USDT交易:據官方公告，5月3日20:00，LBank藍貝殼上線 CSPR(Casper)，開放USDT交易，同時并開放充值，資料顯示，Casper網絡是基于CasperCBC規范構建的第一個實時權益證明區塊鏈。Casper旨在加速當今企業和開發人員對區塊鏈技術的采用，同時確保隨著網絡參與者需求的發展，其在未來仍能保持高性能。[2021/5/3 21:19:51]

圖2：Governable

參考鏈接：

https://github.com/harvest-finance/harvest/blob/master/contracts/Governable.sol

圖3：Storage.sol

參考鏈接：

https://github.com/harvest-finance/harvest/blob/master/contracts/Storage.sol

首發 | 區塊鏈技術及軟件安全實戰基地正式成立:金色財經報道，今日，中軟協區塊鏈分會、人民大學、菏澤市局相關部門聯合共建的區塊鏈技術及軟件安全實戰基地正式成立。同時聘任中軟協區塊鏈分會副秘書長宋愛陸為區塊鏈技術及軟件安全實戰基地特別專家。

區塊鏈技術及軟件安全實戰基地主要涉及領域為：非法數字貨幣交易與洗錢、區塊鏈傳銷與電信詐騙、網絡賭博、四方支付、冒用商標注冊等，聯合社會治理、城市安全、前沿技術領域的行業專家，進行警協合作。

據公開報道，近期菏澤市下屬機關剛破獲一起特大電信網絡詐騙案，打掉多個涉嫌以網貸和投資“比特幣”為名的詐騙團伙，抓獲犯罪嫌疑人83名，扣押凍結涉案資金2700萬元。[2020/7/21]

圖1中第102行起的函數executeMint()的功能是進行鑄幣操作，由于onlyGovernance的限制，使得只有于onlyGovernance許可的地址可以執行該函數，而onlyGovernance的定義來自于圖2中14行與圖3中27行的代碼，最終從圖3的28行可以看到所謂的“Governance”其實僅是指項目擁有者本身，并不是如名稱所暗示指代一個管理委員會。

首發 | 百度財報體現區塊鏈 BaaS平臺成為新戰略重點:金色財經報道，2020年2月28日，百度（股票代碼BAIDU）公布財報，其中將區塊鏈BaaS平臺相關的進展進行了單獨敘述，依托于百度智能云的區塊鏈平臺有望成為技術創新方向的新增長引擎。在AI服務上，百度與上海浦東發展銀行達成合作，共建區塊鏈聯盟，在百度區塊鏈服務（BaaS）平臺上實現跨行信息驗證。[2020/2/28]

通過觀察代碼可以了解到，該項目的治理與重要操作的控制權都被項目管理者據有，中心化程度極高，而這一點明顯違背了以去中心化為基本的流動性挖礦項目的本質。

即便項目管理者加入了一個延遲操作的功能，并設置了每一個鑄幣操作都需要提前公布給社區，這依舊無法從根本上解決問題。尤其是當Harvest.Finance項目把延遲的時間期限設置為12個小時，這也違背了大部分人的作息規律。

除了項目的治理中心化程度過高的通病，流動性挖礦項目同樣存在被套利攻擊的風險。

首發 | 《一起來捉妖》中玩家達到22級將會接觸到專屬貓的玩法 ?:今日騰訊上線首款區塊鏈游戲《一起來捉妖》，經金色財經查證，游戲中玩家達到22級將會接觸到專屬貓的玩法，而非此前官方對外宣稱的15級。除了誘貓鈴鐺召喚出的0代貓以及部分通過運營活動獎勵的專屬貓以外，游戲中所有的貓默認都是未上鏈狀態。未上鏈的貓不能出售，也無法進入市場與其他玩家配對；但是你可以使用這些貓與你的QQ/微信好友進行配對，產出新的小貓。使用道具“天書筆”可以將你的貓記錄到區塊鏈。當貓被記錄到區塊鏈以后，這些貓就可以進入市場，通過配對賺取點券，或者出售賺取點券。專屬貓是否上鏈，并不影響它的增益效果。但只有上鏈后，它才能面對全服務器所有的玩家進行繁殖、交易。

?

《一起來捉妖》中的專屬貓玩法，基于騰訊區塊鏈技術，游戲中的虛擬數字資產得到有效保護。此外，基于騰訊區塊鏈技術，貓也可以自由繁殖，并且運用區塊鏈技術存儲、永不消失。[2019/4/11]

套利攻擊是利用價格差進行低買高賣完成的以獲利為目的的交易行為。已經發生過套利攻擊的著名項目有Balancer和bZx。

10月26日Harvest.Finance項目也發生了套利攻擊事件，損失超3380萬美元。

對于此類攻擊，需要弄清兩個問題：

1.發生套利攻擊的條件是什么？

2.為什么Harvest.Finance項目滿足了這些條件？

發生套利事件需要的條件其實非常直觀：可以完成低買高賣。

簡化來說就是可以通過自己的交易或者操作來影響交易物的價格。

這種交易影響價格的手段可以是直接改變，也可以是改變交易物的數目來間接的影響價格。

流動性挖礦項目自身通過交易來鑄幣或者燃燒幣的操作，十分容易滿足改變交易物的操作要求。

一旦套利攻擊者發現了可利用的攻擊點，可以在沒有風險的情況下當即利用閃電貸借取大額資金，將套利攻擊的獲利擴大。

圖4：Harvest.Finance套利攻擊的交易之一

參考鏈接：

https://etherscan.io/tx/0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877

圖4所示交易是在此次發生于Harvest.Finance項目的套利攻擊的其中一筆交易，攻擊者通過查看該項目智能合約中控制鑄造fUSDC代幣數目的函數，發現鑄造的代幣數目依賴于其參考的Curve項目的計算公式，繼而依靠閃電貸獲得大量初始資金進行套利攻擊。

攻擊者的執行交易的流程大致如下：

1.閃電貸借貸得到大筆USDC和USDT；

2.利用借貸所得USDT通過Curve轉換為USDC，提高USDC價格；

3.將獲得的USDC存入Harvest.Finance項目的USDC儲藏室(vault)中,同時Harvest.Finance會為該存入的行為攻擊者鑄造一定數目的fUSDC(鑄造的數目受Curve影響)；

4.?將初始借貸所得的USDC通過Curve轉換為USDT，提高USDT的價格，同時USDC價格降低；

5.最終攻擊者將持有額所有fUSDC轉換回USDC，此時因為Curve中的USDC價格降低，導致影響了兌換回USDC的數目增加。

最終攻擊者利用類似操作，完成了14筆利用針對USDC的套利交易，然后利用同樣的思路，針對USDT完成了另外13筆套利交易。

根據官方報告，計算了攻擊者返還給項目的1300萬USDC和11萬USDT之后，總損失超過2億人民幣。

在Harvest.Finance這次的套利攻擊事件中，攻擊者通過影響USDC、USDT代幣的價格來進行套利。

因此，項目代幣價格不能簡單的依賴于其相對數目，而應該穩定建立于實時、有效、可靠的價格提供系統之上。例如目前的chainlink的價格預言機便可以一定程度上解決此類隱患。

當討論一個流動性挖礦項目的安全性時，不應僅僅簡單的查看程序代碼、智能合約的安全，而需要查看更加深層的、邏輯性的漏洞，例如治理中心化以及代幣價格控制邏輯可能導致的套利攻擊風險。

傳統的代碼審計并不適合包括流動性挖礦在內的區塊鏈項目。

面對此類項目，需要有經驗豐富的區塊鏈項目專業審計人員，從傳統代碼審計、邏輯審計、金融模型審計等多角度對項目的安全進行逐步且完備的審核，才可確保項目的安全。

迄今為止，CertiK已為超過200名機構用戶提供了優質服務，保護了超過80億美元的數字資產與軟件系統免受安全損失。

歡迎搜索微信關注CertiK官方微信公眾號，點擊公眾號底部對話框，留言免費獲取咨詢及報價！?

Tags：USD區塊鏈NCEANCgusd幣騙局區塊鏈的五大應用領域Pokelon.FinanceBinancedog

世界幣