defi的项目Harvest finance导致用户损失超过2000万美元，著名的KOL提醒用户退出

据10月26日报道，资本超过10亿美元的harvest finance项目遭到黑客攻击。据说它造成了大约2400万美元的损失。许多参与者声称损失了超过15%的资金。受此消息影响，收成的治理象征农场一度暴跌70%以上。

收获项目方面发布微博解释：

“这次攻击和其他套利经济攻击一样，缘于一笔大额的闪电贷，攻击者多次操纵curve y池以提取fUSDT和fUSDC资金，随后将资金转换成renBTC，并退出为BTC。”

此外，丰收还表示：

“我们正致力于减轻对稳定币和BTC池的攻击，一旦有更多细节可用，我们将会进行实时更新。”

根据DeFi路提供的最新信息，黑客以USDT和USDC的形式返还了约247.8万美元，约占被盗资金金额的10%，而harvest project方面则表示稍后会将资金返还给受影响的用户。

DeFi社区炒锅，知名KOL提醒用户撤离丰收

目前，有关收获攻击的信息仍然非常有限，而DeFi社区的知名参与者则警告说，收获用户应尽快从项目合同中提取资金。

截至发稿时，锁定在丰收合约中的资金已跌至5.9亿美元，较24小时前下降42.41%。

袭击发生前一天，迪福观察员克里斯·布莱克透露了收获项目的巨大风险。他说，锁定在丰收项目合同中的10多亿元资金完全由匿名开发者控制，开发团队涉嫌故意隐瞒这一事实。

翻译如下：

DeFi的成长如此之快以至于很难跟上它，即使对我来说也是如此。

但这并不意味着我们不能保证安全性，我们也不必成为开发者去做。

在本文中，我将分享我所采取的步骤，以发现harvest finance管理关键风险的风险很高，这一事实危及用户的资金。

就在昨天，当我查看DeFi pulse时，看到了排名第四的harvest finance项目，它已经锁定了超过10亿美元的资金，但我发现我对这个项目一无所知。

我第一次听说harvest finance是他们向许多gitcoin赠款参与者捐赠了5万美元，当它宣布这一消息时，我确实注意到了这一点。

两天前，我突然注意到一条关于丰收锁定超过10亿美元的微博。

看到这个，我写下了要检查的内容。丰收是目前市场上众多高产农业项目之一。我还没有时间研究每一个项目，但超过10亿美元的项目无疑会引起我的兴趣。

我的第一站是看他们的网站，不难找到。在他们的官方twitter个人资料中有一个链接。

这是一个典的收益农业用户界面。点击一段时间后，我发现他们接受了多个代币存款，包括Uniswap LP代币。我开始怀疑这个项目是如何去中心化的。

这一部分实际上非常重要，因为很少有DeFi用户这样做。每当智能合约接受存款时，你首先要问的问题是，“这个产品的去中心化程度如何？钱是怎么保管的？你有管理密钥吗？如果是这样，它能做什么？”

一旦这些问题浮现在你的脑海中，你需要在你存钱之前得到答案。如果你存款没有结果，你就是在赌博。

我开始点击他们的faq和wiki，直到找到一些线索。首先，我看到丰收的“技术文献”提到时间锁。

正如您所看到的，在技术文献中没有提到管理密钥。

什么是时间锁？这是一个智能合约，它增加了以太坊管理密钥调用的任何事务的延迟，用户有时间检查交易并及时提取自己的资金。

换句话说，如果你没有某种类的钥匙，你根本就不能使用时间锁。

所以当我看到timelock这个词和技术文献没有提到管理密钥或它能做什么时，我知道我必须深入研究这个项目。

在他们的wiki页面上，我发现了一个名为harvest security的链接。通常，当你在DeFi产品网站上看到一个叫做“安全”的页面时，你会发现一些审计报告。我确实看到了。

Harvest finance在其网站上提供了两份审计报告，两份报告均于9月完成，由领先的安全公司peckshield和Haechi labs提供。

首先，我点击peckshield audit的链接，然后我看到：

显然，这不是件好事。

我只用了三秒钟就注意到网址不正确，而且“https://github.com…“所有以前的内容都应该删除。

在我继续之前，让我问你，作为一个非开发人员，你会停在这里放弃吗？或者你会花一些时间查看网址并找出问题所在？

我不知道这是否是harvest无意中犯下的错误，还是故意阻止他人查看审计报告的方式（正如两份审计报告中提到的那样）。但我知道，用户必须勤勉地寻找他们所需的信息，以便做出明智的决定——即使这些信息是隐藏的！

所以我修改了URL，从peckshield得到了实际的审计报告：https://github.com/harvest-finance/harvest/blob/master/audits/PeckShield-harvest.pdf

看起来很吓人，不是吗？

嗯，不一定。你不必是一个开发人员就可以查看审计报告并获得一些关于智能合约系统的非常重要的线索。

打开审计报告时，我需要做的第一件事是搜索对管理密钥或治理的引用。

很容易找到。

让我们看看第42页，正如您所看到的，peckshield使用了简单的英语，这向读者展示了harvest项目的治理责任是高度中心化和高度不稳定的。

“ [治理]当前由一个EOA账户所控制，这引起了社区的必要关注。”

总之，丰收项目的资金完全由一个以太坊账户控制。它不涉及任何Dao，也没有多重签名。

在审计结果中，peckshield给出了一个表，其中所有资金都由同一地址控制

在阅读审计报告时，请记住，项目方通常会向审计公司支付费用，当你在审计报告中看到这样一个表格，实际上代表着审计公司告诉你，项目中存在着一些非常真实的风险，审计公司希望尽可能诚实，不要完全令人恼火客户。接下来，看看海奇实验室的审计报告：https://github.com/harvest-finance/harvest/blob/master/audits/Haechi-harvest.pdf

我又扫描了一下目录，看到了这个重要的提示：

让我们仔细看看。

这意味着，这些智能合约中持有的10亿美元可以由开发者随时转让。

对DFI来说，管理密钥并不是一个新现象，harvest finance并不是唯一使用它的项目。但对于一个资金规模达10亿美元的项目来说，管理关键的存在是可怕的。

所以我问自己的下一个问题是：

“是谁拥有这个功能非常强大的管理密钥？让我们和那个人谈谈。”

我回到harvest finance网站和他们的Wiki页面，找到了“常见问题解答”部分，它给出了我的答案。

不，上帝，请不要告诉我这个拥有11亿美元资金管理密钥的人是个匿名开发者。

上帝：对不起，这是事实。

指责。

一把钥匙被一个陌生的国家控制了一个更糟的事实，一把钥匙被一个陌生的国家控制了。

所以我想大声告诉你：

如您所见，我确实了解到，随着审计报告的完成，harvest anonymous开发人员添加了一个之前提到的时间锁，这只是一个12小时的时间锁，这不足以为用户提供安全性。

找到这些信息后，下一步合乎逻辑的是尝试从harvest finance社区和开发者那里获得更多信息，但情况不是很好。我因为问谁持有管理钥匙而受到攻击。harvest金融团队禁止我加入他们的不和谐社区，并在twitter上屏蔽我。

现在，我不仅知道嘉实金融持有的基金处于非常危险和不安全的境地，而且我也知道他们匿名的开发者很难接受质疑，这对投资者是不利的。

这种情况将来会改变吗？如果有一天该项目的匿名开发人员已经充分去中心化了当前的管理密钥，那么它可能值得一看。

但在此之前呢？这是一款不可触摸的DeFi产品。

将这些步骤应用到您感兴趣的每个DFI产品上，您将能够作为非开发人员生存下来。祝你好运！