DeFiプロトコルHarvest Finance、2400万ドル相当が不正流出

Harvest Finance

分散型金融（DeFi）のイールドファーミングプロトコル「Harvest Finance」の流動性プールから2400万ドル（25億円）相当の仮想通貨が不正流出したことがわかった。

some info on the developing @harvest_finance exploit 🧐

~$24MM exploited 👉 https://t.co/dYRS8WMxjN

~$2.5MM sent back to deployer 👉 https://t.co/d8A2FvRrzd

hacker cashed out almost all of it via renBTC and tornado in the last ~1 hour 👉 https://t.co/fNmUnUaYP6

h/t @jiecut42 pic.twitter.com/MNbU32qClf

— devops199fan 🔪📜😅 (@devops199fan) October 26, 2020

Harvest Financeは、DeFiの利回りアグリゲーターとして機能し、他のDeFiプールに流動性を提供して、流動性プロバイダー（LP）の利益を獲得する。

攻撃者は、無担保融資「フラッシュローン」の脆弱性を悪用し、DeFiのステーブルコイン取引プラットフォームであるCurveの「Yプール」にて、裁定取引による価格操作を行うことで、わずか7分足らずで不正に利益を引き出したとされる。

The economic attack was performed through the curve y pool, stretching the price of the stablecoins in Curve out of proportion and depositing and withdrawing a large amount of assets through harvest.

To protect users, we’ve pulled y pool and btc curve strategy funds to the vault

— Harvest Finance (@harvest_finance) October 26, 2020

流出したトークンの一部は、すでにERC-20基盤のBTCトークン「renBTC（rBTC）」と交換されたほか、トランザクションをミックスして匿名性を確保する難読化ツール「Tornado Cash（トルネード・キャッシュ）」を使用して、ステーブルコインUSDCやUSDTに変換された。

これに伴い、ネイティブトークン「FARM」は、前日比65%安と暴落した。

Coingecko

DeFiPulseのTVL（Total Value Locked）データによれば、Harvest Financeのインシデント発生前、計10億ドル以上のトークンがロックされていた。DeFiエコシステム全体の脆弱性が露呈したことによる懸念も広がった。

defipulse.com

先月末には、構築中のブロックチェーンプロジェクト「eminence.finance」のコードの脆弱性が利用され、計1500万ドルに相当するステーブルコインDAIが流出している。

一方、分散型取引所「Uniswap」の取引高は、1日で1億4800万ドルから20億ドルまで急増した。

Uniswap’s volume just had a massive outlier and spiked from $148M yesterday to $2 billion today. Why? The $FARM exploiter is running money through Uniswap. Good day for Uniswap LPs. pic.twitter.com/g4HQ3sHFU7

— Larry Cermak (@lawmaster) October 26, 2020

内92％はUSDT/ETHとUSDC/ETHの通貨ペアであることが確認されており、etherscanのデータとも一致する。