Der merkwürdige Fall von Harvest Finance vom 21. bis 28. Oktober

0
11

Wir wurden mit einer weiteren typischen „Degen Yield Farm“ geschmückt, die diese Woche in und aus der Relevanz auftauchte.

Harvest Finance sammelte einen Gesamtwert von bis zu 1 Milliarde US-Dollar, bevor ein „wirtschaftlicher Exploit“ dazu führte, dass er zusammenbrach. Die wertgebundene Maßnahme liegt jetzt bei 300 Millionen US-Dollar und die Aussichten auf eine Erholung sehen düster aus.

Der Exploit hat erneut Debatten unter Mitgliedern der DeFi-Community ausgelöst, ob diese Art von Arbitrage-Angriffen auf Basis von Flash-Darlehen tatsächlich Hacks sind.

Erntemerkmale ergeben landwirtschaftliche Gewölbe ähnlich denen von Yearn. Sie geben tokenisierte Tresorfreigaben basierend auf dem Wert der von Benutzern bereitgestellten Assets aus. Einige dieser Tresore stützen sich auf den Y-Pool von Curve, der die Liquidität für Swaps zwischen USDT, USDC, DAI und TUSD fördert.

Bei dem Angriff wurden Flash-Kredite verwendet, um 17 Mio. USDT über Curve in USDC umzuwandeln, wodurch der USDC-Preis vorübergehend auf 1,01 USD angehoben wurde. Der Angreifer benutzte dann einen weiteren von Flash geliehenen Vorrat von etwa 50 Millionen USDC, den das System als 50,5 Millionen USD wert ansah, um in den Harvest USDC-Tresor zu gelangen.

Nach dem Eintritt kehrte der Angreifer den vorherigen USDC-Handel wieder in USDT um, um den Preis ins Gleichgewicht zu bringen, und löste dann sofort seine Anteile an Harvests Pools ein, um USDC in Höhe von 50,5 Mio. USD zu erhalten – ein Nettogewinn von 500.000 USD pro Zyklus, der so oft wiederholt wurde, dass 24 USD erzielt wurden Millionen in Beute.

Also ist das ein Hack oder nicht?

Technisch gab es hier keine Schwachstellen. Bei diesen Arten von „Arbitrage-Geschäften“ wurde eine umgangene Prüfung durchgeführt, bei der festgestellt wurde, ob der Preis dieser stabilen Münzen zu stark von ihrem beabsichtigten Wert abweicht. Aber es war bereits ziemlich niedrig eingestellt und es ist eher eine leichte Unannehmlichkeit als ein tatsächlicher Blocker – ein Angreifer muss nur mehr Ausnutzungszyklen verwenden.

Diese Sequenz ist schwindelerregend und lässt immer noch viele Schritte aus.

In diesem Sinne sind Befürworter der Theorie, dass dies nur ein Arbitrage-Handel ist, richtig – es gibt kein unbeabsichtigtes Verhalten im Code, es ist eher wie eine manipulierte Marktmanipulation mit Waffen, die mit Geschwindigkeit wiederholt wird.

Das Harvest Finance-Team übernahm dennoch die Verantwortung dafür als Konstruktionsfehler, was lobenswert ist.

Ehrlich gesagt bin ich mir nicht einmal sicher, worum es bei diesen semantischen Debatten geht. Menschen haben auf vermeidbare Weise Geld verloren. Ein Audit sollte dies erfassen und als kritisches Problem markieren.

Es ist jedoch definitiv zu begründen, dass es sich um eine andere Kategorie handelt als Fehler wie Wiedereintritt. Es wird hervorgehoben, dass diese finanziellen Bausteine ​​- oft als „Geld-Lego“ bezeichnet – am Reißbrett mit größter Sorgfalt entworfen werden müssen.

Es ist so, als hätte jemand eine Waffe aus Lego-Teilen hergestellt und die Leute diskutierten, ob die Waffe „hergestellt“ oder „entdeckt“ wurde, weil die Teile wie geplant technisch zusammengebaut wurden. In jedem Fall sollten die Lego-Teile überarbeitet werden, damit sie nicht zu einer tödlichen Waffe werden.

Ein bisschen zu viel Vertrauen für Kryptostandards

Vor dem Hack war Harvest für seinen extremen Zentralisierungsgrad bekannt. In seiner Blütezeit hätte die gesamte Milliarde US-Dollar von einer einzigen Adresse gestohlen werden können, die höchstwahrscheinlich von dem anonymen Team hinter dem Projekt kontrolliert wurde. Ein paar Audits haben diese Tatsache hervorgehoben und auch deutlich gemacht, dass die Adresse Minters nominieren und nach Belieben Token erstellen konnte.

Fans des Projekts verteidigten es energisch und sagten, dass die Inhaber von Governance-Schlüsseln aufgrund der Zeitsperre das Geld nur 12 Stunden nach der Signalisierung ihrer Absichten stehlen könnten oder dass sie nur eine begrenzte Anzahl von Token drucken könnten.

Ich lasse Sie über diese Argumente urteilen. Der weitere Punkt ist, dass diese „Degens“ auf der Suche nach Ertrag die Grundprinzipien der Dezentralisierung ignorieren und wissen, worum es bei DeFi geht.

Und ich sage nicht, dass es wegen einiger idealistischer Prinzipien, die ich habe, schlecht ist. Es liegt an Teppichzügen. Dies sind die genauen Umstände, die zu Katastrophen wie UniCats geführt haben.