Анонимные разработчики, стоящие за фермой DeFi, могут украсть 1 миллиард долларов за 12 часов

Harvest Finance, децентрализованный финансовый проект, которому удалось привлечь более 1 миллиарда долларов заблокированных средств, имеет ключ администратора, который дает его держателям возможность чеканить токены по своему желанию и красть средства пользователей.

Как отмечают аудиторские компании PeckShield и Haechi, параметры управления не устанавливаются контрактом с четко определенными правилами.Ключ администратора, предположительно принадлежащий анонимным разработчикам, стоящим за проектом, может быть использован для произвольного чеканки новых токенов FARM.

Эти полномочия могут позволить держателям ключей управления создавать неограниченное количество токенов и сливать средства из пула Uniswap токенов, который в настоящее время содержит 12 миллионов долларов США в долларах США.

Harvest Finance – это автоматизированная система управления урожайностью, использующая стратегии на основе хранилищ, аналогичные Yearn Finance.Хэчи подчеркнул, что в дополнение к механике чеканки, у держателя ключа управления есть возможность изменять функциональность хранилища по своему желанию, что может быть использовано путем отправки поддельной стратегии, которая просто отправляет средства на адрес, контролируемый злоумышленником.

Таким образом, держатели ключа управления будут иметь теоретическую возможность украсть все активы на сумму 1,05 миллиарда долларов, привязанные к протоколу, в дополнение к средствам в пуле Uniswap.

В ответ на аудит команда ввела 12-часовую временную блокировку, которая должна давать пользователям достаточно заблаговременное предупреждение в случае обнаружения нечестной игры, но это требует постоянной бдительности сообщества.

В настоящее время проект представляет собой классическую ферму урожая, похожую на многие «продовольственные монеты».Пользователи могут фиксировать Ether (ETH), Wrapped Bitcoin (BTC) и другие активы, но самый высокий доход FARM можно получить, отправив токены FARM самостоятельно, без необходимости дополнительного уровня абстракции токенов пула Uniswap.Такая круговая зависимость характерна для многих схем Понци с криптовалютой.

Команда полностью анонимна, хотя проекту удалось привлечь относительно большое сообщество, и он был вовлечен в сообщество, раздавая гранты.

Хотя на данный момент ничто не предполагает злонамеренных намерений, проект сильно централизован, и потенциальные фермеры должны знать, что они доверяют анонимной группе разработчиков, чтобы противостоять искушению сбежать со своими деньгами, аналогично тому, как сообщество изначально доверяло основателю SushiSwap.