Le cas curieux de Harvest Finance, 21-28 octobre

Le cas curieux de Harvest Finance, 21-28 octobre

Es crypto faucet

Nous avons été honorés avec une autre «ferme à rendement dégen» typique qui est apparue et n’est plus pertinente cette semaine.

Harvest Finance a collecté jusqu’à 1 milliard de dollars en valeur totale verrouillée avant qu’un «exploit économique» ne la fasse s’écrouler. Sa valeur verrouillée se situe désormais autour de 300 millions de dollars et les perspectives de reprise semblent sombres.

L’exploit a une fois de plus relancé les débats parmi les membres de la communauté DeFi quant à savoir si ces types d’attaques d’arbitrage basées sur des prêts flash sont en réalité des piratages.

Les caractéristiques de récolte donnent des voûtes agricoles similaires à celles de Yearn. Ils émettent des partages de coffre-fort à jetons en fonction de la valeur des actifs fournis par les utilisateurs. Certains de ces coffres reposent sur le pool Y de Curve, qui alimente la liquidité des swaps entre USDT, USDC, DAI et TUSD.

L’attaque a utilisé des prêts flash pour convertir 17 millions USDT en USDC via Curve, augmentant temporairement le prix USDC à 1,01 USD. L’attaquant a ensuite utilisé une autre réserve prêtée flash de quelque 50 millions de dollars USDC – que le système considérait comme une valeur de 50,5 millions de dollars – pour pénétrer dans le coffre-fort Harvest USDC.

Après son entrée, l’attaquant inversait le commerce USDC précédent en USDT pour équilibrer le prix, puis rachèterait immédiatement ses actions des pools de Harvest pour recevoir 50,5 millions de dollars en USDC – un bénéfice net de 500000 dollars par cycle répété suffisamment de fois pour obtenir 24 dollars. millions en butin.

Alors, est-ce un hack ou pas?

Techniquement, il n’y avait aucune vulnérabilité impliquée ici. Il y a eu un contrôle contourné pour ces types de «transactions d’arbitrage» qui détecte si le prix de ces coins stables s’écarte trop de leur valeur prévue. Mais il était déjà réglé assez bas et c’est vraiment plus un léger inconvénient qu’un véritable bloqueur – un attaquant a juste besoin d’utiliser plus de cycles d’exploitation.

Cette séquence est vertigineuse et omet encore de nombreuses étapes.

Donc, en ce sens, les partisans de la théorie selon laquelle il ne s’agit que d’une opération d’arbitrage ont raison – il n’ya pas de comportement involontaire dans le code, c’est plutôt une manipulation de marché armée répétée à grande vitesse.

L’équipe Harvest Finance en a néanmoins assumé la responsabilité en tant que défaut de conception, ce qui est louable.

Honnêtement, je ne sais même pas quel est l’intérêt de ces débats sémantiques. Les gens ont perdu de l’argent de manière évitable. Un audit devrait avoir détecté ce problème et l’a marqué comme un problème critique.

Mais il y a certainement un argument à démontrer qu’il s’agit d’une catégorie différente des bogues tels que la réentrance. Il souligne que ces éléments de base financiers – souvent appelés «argent Lego» – doivent être conçus avec le plus grand soin à la planche à dessin.

C’est comme si quelqu’un avait créé une arme à feu à partir de coins Lego et que les gens se demandaient si l’arme avait été «créée» ou «découverte» parce que les coins étaient techniquement assemblées comme prévu. Dans tous les cas, les coins Lego doivent être retravaillées afin qu’elles ne puissent pas devenir une arme mortelle.

Un peu trop de confiance pour les normes cryptographiques

Avant le hack, Harvest se distinguait par son degré extrême de centralisation. À ses jours de gloire, la totalité du milliard de dollars aurait pu être volée par une seule adresse, probablement contrôlée par l’équipe anonyme derrière le projet. Quelques audits ont mis en évidence ce fait, indiquant également que l’adresse était en mesure de nommer des minters et de créer des jetons à volonté.

Les fans du projet l’ont vigoureusement défendu, affirmant qu’en raison du verrouillage du temps, les détenteurs de clés de gouvernance ne pouvaient voler l’argent que 12 heures après avoir signalé leurs intentions, ou qu’ils ne pouvaient imprimer qu’un nombre limité de jetons.

Je vous laisserai juger ces arguments. Le point plus large est que dans la recherche de rendement, ces «degens» ignorent les principes de base de la décentralisation et, vous savez, ce qu’est DeFi.

Et je ne dis pas que c’est mauvais à cause de certains principes idéalistes que j’ai. C’est à cause des tirages de tapis. Ce sont les circonstances exactes qui ont conduit à des catastrophes comme UniCats.