DeFi-проект Harvest Finance представил обновленную информацию о произошедшей в понедельник атаке, в результате которой было похищено $33,8 млн. Разработчики также уточнили сумму ущерба. Ранее предполагалось, что он составил $24 млн.
Для осуществления атаки злоумышленник воспользовался мгновенным займом, который может получить любой пользователь Ethereum без обеспечения при условии, что он будет возвращен в том же блоке. Это позволило ему провести манипуляции с ценами стейблкоинов USDT и USDC и скупить их значительно ниже обычной стоимости. После этого заем был возвращен, а у организатора атаки осталась многомиллионная сумма.
После вмешательства цена собственного токена Harvest Finance FARM опустилась от $242 до $100. «Мы допустили инженерную ошибку и признаем это», – написали разработчики.
В качестве возможных путей для предотвращения подобных ситуаций в дальнейшем они называют несколько вариантов, в том числе запрет на ввод и вывод средств в ходе одной транзакции, что сделает использование мгновенных займов бессмысленным.
Одновременно с этим они просят вернуть токены: «Организатор атаки доказал свою точку зрения. Если он сможет вернуть средства пользователям, сообщество это высоко оценит».
Harvest Finance также предлагают награду в $100 000 для того, кто поможет вернуть токены, и $400 000, если это будет сделано в течение 36 часов. «Пожалуйста, не раскрывайте его данные в процессе. Мы настойчиво рекомендуем сосредоточить все усилия на обеспечении успешного возврата средств наших пользователей», – добавляют они.