Некий злоумышленник вывел из пула протокола децентрализованного финансирования Harvest Finance почти 24 миллиона долларов. Разработчики Harvest Finance подтвердили факт взлома.
The economic attack was performed through the curve y pool, stretching the price of the stablecoins in Curve out of proportion and depositing and withdrawing a large amount of assets through harvest.
To protect users, we've pulled y pool and btc curve strategy funds to the vault
— Harvest Finance (@harvest_finance) October 26, 2020
Злоумышленник сразу же обменял украденную криптовалюту на токены renBTC (rBTC) и использовал микшер Tornado Cash для смешивания монет и запутывания следов.
Инвесторы поспешили забрать свои деньги из Harvest Finance, и на момент написания вытащили около 350 миллионов долларов. Однако согласно данным CoinGecko, цена нативного токена FARM упала более чем на 50% и продолжает снижаться.
Разработчики Harvest Finance заявили, что у них достаточно данных, чтобы идентифицировать злоумышленника, и они намекнули, что он «хорошо известен в криптосообществе». Но они не хотят предпринимать против него меры.
«Мы не заинтересованы в преследовании злоумышленника. Мы уважаем ваше мастерство и изобретательность, просто верните средства пользователям», — говорят разработчики.
Тем не менее, разработчики пообещали награду в $100 тыс тому, кто выйдет на хакера. Кроме этого, они опубликовали адреса, которые могут быть связаны с атакой.
Взлом произошел всего через день после того, как аналитики сделали предупреждение по поводу Harvest Finance. Разработчики протокола владеют административным ключом, который позволяет украсть абсолютно все средства из смарт-контрактов протокола. Неясно, сыграл ли ключ администратора какую-то роль в этой атаке или нет.