DeFi project Harvest Finance gehackt, $24 miljoen gestolen, ontwikkelaars loven $100.000 uit

Er is vandaag $24 miljoen gestolen van Harvest Finance, een decentralized finance (DeFi) platform voor yield farming, en de ontwikkelaars hebben aangekondigd dat zij $100.000 uitloven aan de eerste persoon die hen met de dief in contact brengt.
Het is weer zover in de wereld van DeFi. Een onbekende hacker heeft maar liefst $24 miljoen uit de smart contracts van het Harvest Finance project gestolen. De anonieme ontwikkelaars van het project melden dat de hacker dit heeft gedaan via de Curve Y Pool:

The economic attack was performed through the curve y pool, stretching the price of the stablecoins in Curve out of proportion and depositing and withdrawing a large amount of assets through harvest.

To protect users, we’ve pulled y pool and btc curve strategy funds to the vault

— Harvest (@harvest_finance) October 26, 2020

Harvest is een yield farming platform dat enigszins lijkt op Yearn Finance. De hacker is momenteel de gestolen cryptocurrencies om aan het zetten in renBTC en Tornado Cash.
Ook heeft de hacker inmiddels weer $2,5 miljoen teruggestuurd naar het project in de vorm van tether (USDT) en USD coin (USDC). Deze zullen vast verdeeld worden onder de slachtoffers, meldt het Harvest team:

The attacker sent back $2,478,549.94 to the deployer in the form of USDT and USDC.

This will be distributed to the affected depositors pro-rata using a snapshot

— Harvest (@harvest_finance) October 26, 2020

De waarde van de Harvest token (FARM) kelderde vanochtend van $233 naar ongeveer $80, een daling van 65% in minder dan een uur. De koers was daarvoor aan een behoorlijke stijging bezig in de maand oktober.
Kort na de bovenstaande ontwikkelingen kondigde ontwikkelaars van Harvest aan dat zij genoeg gegevens hebben verzameld hebben om de identiteit van de hacker te achterhalen. Het zou om een bekend iemand uit de crypto community gaan.

In addition to the BTC addresses which hold the funds, there is now a significant amount of personally identifiable information on the attacker, who is well-known in the crypto community.

We are putting out a 100k bounty for the first person or team to reach out to the attacker

— Harvest (@harvest_finance) October 26, 2020

Het Harvest team meldt dat zij $100.000 uitloven aan de eerste persoon of team die hen kan verbinden met deze hacker. Verder geven zij aan dat zij niet geïnteresseerd zijn om de gegevens van de hacker publiekelijk te maken, ze willen alleen dat de hacker het geld van de gebruikers terugstuurt.

We are not interested in doxxing the attacker, your skill and ingenuity is respected, just return the funds to the users

— Harvest (@harvest_finance) October 26, 2020

Afgelopen weekend kwam al naar buiten dat het Harvest Finance project kwetsbaarheden bevat. De ontwikkelaars zouden een speciale ‘admin key’ in handen hebben waarmee de ontwikkelaars met de tegoeden ervandoor zouden kunnen gaan. Het is momenteel onbekend of dit verbonden is aan de hack.