Gisteren was op Crypto Insiders te lezen dat iemand maar liefst $24 miljoen had gestolen van Harvest Finance, een relatief nieuw decentralized finance (DeFi) project, en dat de ontwikkelaars $100.000 uitloven aan de gene die het Harvest team met de hacker in contact kan brengen.
Inmiddels heeft het Harvest team een post-mortem over de situatie gepubliceerd. Hieruit blijkt dat de hacker een zogeheten flash loan had uitgevoerd om binnen zeven minuten $24 miljoen aan USDC en USDT stablecoins uit de kluizen van Harvest te roven via de Y Pool van Curve.fi.
Harvest Flashloan Economic Attack Post-Mortemhttps://t.co/MEsEozySg1
— Harvest (@harvest_finance) October 26, 2020
Andre Cronje, de hoofdontwikkelaar van Yearn.Finance, het DeFi-project waar Harvest op is gebaseerd, gaf ook een korte uitleg hoe deze flash loan werd uitgevoerd:
tl;dr on harvest exploit pic.twitter.com/4CyFEIGPt7
— banteg (@bantg) October 26, 2020
Larry Cermak van The Block meldt dat de gedecentraliseerde cryptocurrency-exchange (DEX) Uniswap hierdoor gisteren een enorme piek in het volume ondervond:
Uniswap’s volume just had a massive outlier and spiked from $148M yesterday to $2 billion today. Why? The $FARM exploiter is running money through Uniswap. Good day for Uniswap LPs. pic.twitter.com/g4HQ3sHFU7
— Larry Cermak (@lawmaster) October 26, 2020
Harvest Finance meldt dat de hacker misbruik kon maken van een “engineering error.” Het Harvest team geeft toe dat dit hun eigen fout is, en geven aan dat zij de volle verantwoordelijkheid nemen voor dit voorval.
– We take responsibility for this engineering error and are ensuring such incidents are mitigated in the future
– Formulating a remediation plan for affected users is the top priority
– We humbly request that the funds are returned to the deployer so that it can returned to users— Harvest (@harvest_finance) October 26, 2020
Het Harvest team vraagt nogmaals aan de hacker om het geld terug te sturen en herhalen dat ze geen interesse hebben om de identiteit van de hacker te onthullen (doxxing). Harvest beweerde eerder dat het om een bekende uit de community zou gaan. Mocht het gestolen geld binnen 36 uur nog niet zijn teruggestuurd, dan wordt de beloning verhoogt naar $400.000.
We made an engineering mistake, we own up to it. Thousands of people are acting as collateral damage
— Harvest (@harvest_finance) October 26, 2020
Harvest meldt dat de aanval voor een verlies van zelfs $33.8 miljoen heeft gezorgd. Het team vroeg gisteren aan enkele van de grootste crypto-beurzen om een reeks bitcoin adressen op een zwarte lijst te zetten die de gestolen fondsen zouden bevatten.
Please blacklist these addresses, thank you@binance @coinbase @HuobiGlobal @OKEx @krakenfx @FTX_Official @bitfinex @BittrexExchange
— Harvest (@harvest_finance) October 26, 2020
Jesse Powell, CEO van Kraken, haalde gisteren hard uit naar dergelijke DeFi projecten:
Stop fucking up your bullshit DeFi scams and expecting exchanges to bail you out. I will not accept your attempt at externalizing the cost of your hasty, reckless rollout. Invest in audits, insurance and please DYOR. Taking your losses is the only way to enlightenment.
— Jesse Powell (@jespow) October 26, 2020
