El extraño caso de Harvest Finance del 21 al 28 de octubre

Fuimos adornados con otra típica “Granja de rendimiento de Degen” que apareció y dejó de ser relevante esta semana.

Harvest Finance recaudó un whole de hasta mil millones de dólares en valor antes de que una “explotación económica” hiciera que colapsara. El movimiento valorado ahora es de $ 300 millones y las perspectivas de recuperación parecen sombrías.

El exploit ha provocado una vez más el debate entre los miembros de la comunidad DeFi sobre si este tipo de ataques de arbitraje de préstamos flash son en realidad hacks.

Las características de cosecha dan como resultado bóvedas agrícolas similares a las de Yearn. Emiten acciones de bóveda tokenizadas en función del valor de los activos proporcionados por el usuario. Algunas de estas bóvedas se basan en Y-Pool de Curve, que impulsa la liquidez de los intercambios entre USDT, USDC, DAI y TUSD.

Los préstamos flash se utilizaron en el ataque para convertir USDT 17M a USDC a través de Curve, elevando temporalmente el precio del USDC a USD 1,01. Luego, el atacante usó otro alijo de aproximadamente $ 50 millones USDC prestado de Flash, que el sistema consideró valuado en $ 50.5 millones, para ingresar a la bóveda Harvest USDC.

Al ingresar, el atacante revirtió la operación anterior del USDC en USDT para equilibrar el precio, luego canjeó inmediatamente su participación en Harvests Swimming pools para recibir USDC – $ 50.5 millones La ganancia neta de $ 500,000 por ciclo se repite tantas veces para obtener $ 24 millones en botín.

Entonces, ¿es esto un truco o no?

Aquí no hubo debilidades técnicas. Se realizó una prueba de derivación en estos tipos de “arbitraje” para determinar si el precio de estas monedas estables estaba demasiado lejos de su valor previsto. Pero ya estaba bastante bajo y es más un pequeño inconveniente que un bloqueador actual: un atacante solo necesita usar más ciclos de explotación.

Esta secuencia es vertiginosa y todavía se saltan muchos pasos.

Con eso en mente, los defensores de la teoría de que esto es solo un comercio de arbitraje tienen razón: no hay un comportamiento no intencional en el código, es más como una manipulación del mercado amañada con armas repetidas a gran velocidad.

No obstante, el equipo de Harvest Finance asumió la responsabilidad por considerarlo un defecto de diseño, lo cual es encomiable.

Honestamente, ni siquiera estoy seguro de qué tratan estos debates semánticos. La gente perdió dinero de forma evitable. Una auditoría debería haber registrado esto y marcarlo como un problema crítico.

Pero definitivamente hay un caso de que es una categoría diferente a un error como el reingreso. Se hace hincapié en que estos bloques de construcción financieros, a menudo denominados “Lego del dinero”, deben diseñarse con el mayor cuidado en la mesa de dibujo.

Es como si alguien hiciera una pistola con piezas de Lego y la gente estuviera discutiendo si la pistola fue “fabricada” o “descubierta” porque las piezas se ensamblaron técnicamente según lo planeado. En cualquier caso, las piezas de Lego deben reelaborarse para que no se conviertan en un arma mortal.

Demasiada confianza en los estándares criptográficos

Antes del hack, Harvest period conocido por su nivel extremo de centralización. En su apogeo, la totalidad de los miles de millones de dólares podrían haber sido robados de una sola dirección, probablemente controlada por el equipo anónimo detrás del proyecto. Un par de auditorías destacaron este hecho y también dejaron en claro que la dirección podría nominar Minters y crear tokens a voluntad.

Los fanáticos del proyecto lo defendieron enérgicamente, diciendo que debido al bloqueo de tiempo, los titulares de las claves de gobierno podían robar el dinero solo 12 horas después de que se señalaran sus intenciones o que solo podían imprimir una cantidad limitada de tokens.

Dejaré que juzgues estos argumentos. El otro punto es que aquellos “degens” en busca de ingresos ignoran los principios básicos de la descentralización y saben de qué se trata DeFi.

Y no digo que sea malo por algunos principios idealistas que tengo. Es por los trenes de alfombras. Estas son las circunstancias exactas que llevaron a desastres como UniCats.