Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 011Flash-Loan-Angriff

Harvest Finance Flash Loan

30 Curve-YPool-Preismanipulations-Schleifen, mit 50-Mio.-$-USDC-Flash-Loan finanziert, zogen 24 Mio. $ aus Harvest ab und lösten 570-Mio.-$-Bank-Run aus.

Datum
Opfer
Harvest Finance
Chain(s)
Ethereum
Status
Teilweise zurückerlangt

Am 26. Oktober 2020 zog ein Angreifer rund 24 Millionen $ aus Harvest Finance ab, indem er 30 Iterationen einer Curve-YPool-Preismanipulations-Schleife ausführte. Der Exploit löste auch einen 570-Mio.-$-Bank-Run aus, als Deponenten sich beeilten abzuheben, bevor das Protokoll vollständig kompromittiert war — eines der ersten dokumentierten „DeFi-Run"-Ereignisse.

Was geschah

Harvest Finance war ein Yield-Aggregator. Seine fUSDC- und fUSDT-Vaults deponierten Nutzergelder im Curve YPool, um Yield zu erzielen, und Harvest preiste seine f-Tokens anhand des Spot-Wechselkurses innerhalb des YPool beim Einzahlen und Abheben.

Der Angreifer erkannte, dass diese Read-Time-Preisermittlung von jedem manipuliert werden konnte, der die internen Bilanzen des YPools in derselben Transaktion bewegen konnte. Mit einem 50-Mio.-$-USDC-Flash-Loan von Uniswap:

  1. Swappte er USDC → USDT innerhalb des YPool und drückte den effektiven USDT-Preis stark nach oben.
  2. Deponierte USDC in Harvests Vault — Harvest nutzte den manipulierten YPool-Preis, um fUSDC zu minten, und schrieb dem Angreifer mehr fUSDC gut als dem wahren Wert der Einlage entsprach.
  3. Drehte die YPool-Manipulation zurück, indem er USDT in USDC zurückswappte.
  4. Hob das fUSDC für mehr USDC ab, als er ursprünglich deponiert hatte, und erzielte rund 600.000 $ pro Zyklus.
  5. 17-mal auf dem USDC-Vault und 13-mal auf dem USDT-Vault wiederholt, dann verschwunden.

Gesamtgewinn: 24 Mio. $. Der Angreifer gab im Nachhinein freiwillig 2,4 Mio. $ an das Protokoll zurück — die Gelder wurden anschließend durch Tornado Cash gefegt und in BTC umgewandelt.

Folgen

  • Die Nachricht vom Exploit löste den 570-Mio.-$-Bank-Run aus: Panische Deponenten zogen binnen Stunden fast zwei Drittel von Harvests TVL ab, weit mehr als der tatsächliche Verlust.
  • Harvest charakterisierte den Vorfall als „Engineering-Fehler" statt als echten Hack — die meisten Beobachter sahen diese Darstellung als Verleugnung.
  • Harvest patchte die Pricing-Logik und entschädigte betroffene Nutzer in den folgenden Monaten aus Protokoll-Umsatz.

Warum es wichtig ist

Harvest ist einer der frühen kanonischen Vorfälle der DeFi-Flash-Loan-Ära. Er demonstrierte:

  • Preise aus einem manipulierbaren Pool in derselben Transaktion zu lesen, ist unsicher, Punkt — die gesamte Klasse von „nutze das aktuelle Spot-Verhältnis im AMM, das du gerade angefasst hast"-Mustern ist exploitierbar.
  • DeFi-Bank-Runs sind real: Wenn das Vertrauen in die Solvenz eines Protokolls erschüttert ist, werden Deponenten schneller aussteigen, als ein Team kommunizieren kann, und der sekundäre Verlust kann den primären in den Schatten stellen.

Zeitgewichtete Orakel und entkoppelte Preisfeeds sind die noch aktuelle Antwort; Harvests Vorfall ist einer der Gründe, warum sie existieren.

Quellen & On-Chain-Belege

  1. [01]slowmist.medium.comhttps://slowmist.medium.com/slow-mist-analysis-of-harvest-finances-hacked-event-63450b49e6a5
  2. [02]coindesk.comhttps://www.coindesk.com/tech/2020/10/26/harvest-finance-24m-attack-triggers-570m-bank-run-in-latest-defi-exploit
  3. [03]decrypt.cohttps://decrypt.co/46445/engineering-error-34-million-defi-hack-harvest-finance

Verwandte Einträge