Harvest Finance
分散型金融(DeFi)のイールドファーミングプロトコル「Harvest Finance」の流動性プールから2400万ドル(25億円)相当の仮想通貨が不正流出したことがわかった。
some info on the developing @harvest_finance exploit 🧐
— devops199fan 🔪📜😅 (@devops199fan) October 26, 2020
~$24MM exploited 👉 https://t.co/dYRS8WMxjN
~$2.5MM sent back to deployer 👉 https://t.co/d8A2FvRrzd
hacker cashed out almost all of it via renBTC and tornado in the last ~1 hour 👉 https://t.co/fNmUnUaYP6
h/t @jiecut42 pic.twitter.com/MNbU32qClf
Harvest Financeは、DeFiの利回りアグリゲーターとして機能し、他のDeFiプールに流動性を提供して、流動性プロバイダー(LP)の利益を獲得する。
攻撃者は、無担保融資「フラッシュローン」の脆弱性を悪用し、DeFiのステーブルコイン取引プラットフォームであるCurveの「Yプール」にて、裁定取引による価格操作を行うことで、わずか7分足らずで不正に利益を引き出したとされる。
The economic attack was performed through the curve y pool, stretching the price of the stablecoins in Curve out of proportion and depositing and withdrawing a large amount of assets through harvest.
— Harvest Finance (@harvest_finance) October 26, 2020
To protect users, we've pulled y pool and btc curve strategy funds to the vault
流出したトークンの一部は、すでにERC-20基盤のBTCトークン「renBTC(rBTC)」と交換されたほか、トランザクションをミックスして匿名性を確保する難読化ツール「Tornado Cash(トルネード・キャッシュ)」を使用して、ステーブルコインUSDCやUSDTに変換された。
これに伴い、ネイティブトークン「FARM」は、前日比65%安と暴落した。
Coingecko
DeFiPulseのTVL(Total Value Locked)データによれば、Harvest Financeのインシデント発生前、計10億ドル以上のトークンがロックされていた。DeFiエコシステム全体の脆弱性が露呈したことによる懸念も広がった。
defipulse.com
関連:DeFiブームの火付け役、イールドファーミングでは何が起こったのか
先月末には、構築中のブロックチェーンプロジェクト「eminence.finance」のコードの脆弱性が利用され、計1500万ドルに相当するステーブルコインDAIが流出している。
関連:仮想通貨1500万ドルが流出か、YFI関連最新プロジェクトの脆弱性で
一方、分散型取引所「Uniswap」の取引高は、1日で1億4800万ドルから20億ドルまで急増した。
Uniswap's volume just had a massive outlier and spiked from $148M yesterday to $2 billion today. Why? The $FARM exploiter is running money through Uniswap. Good day for Uniswap LPs. pic.twitter.com/g4HQ3sHFU7
— Larry Cermak (@lawmaster) October 26, 2020
内92%はUSDT/ETHとUSDC/ETHの通貨ペアであることが確認されており、etherscanのデータとも一致する。
etherscan
