Das DeFi-Projekt vergleicht die Zinsen verschiedener Kreditvergabeprotokolle und optimiert diese so, dass Anleger die maximale Rendite für ihre eingezahlten Token erhalten. Zudem steigert die Plattform die Rendite indem sie FARM-Token ausschüttet.

Harvest Finance ähnelt daher sehr dem Yearn Finance Projekt, dessen YFI-Token, in den letzten Monaten eine rasante Kurssteigerung verzeichnen konnte.

Angreifer nutzt Flash-Loans und erbeutet 24 Millionen US-Dollar

Indem ein Angreifer Flash-Loans nutzte, konnte er einen Arbitrage-Angriff ausführen und eine Schwachstelle des Harvest Finance Protokoll ausnutzen.

Mit Hilfe eines Flash-Loan kann man sich Geld von jemandem anderem gegen Zinsen leihen, ohne eine Sicherheit zu hinterlegen. Die einzige Bedingung ist, dass man das Geld noch in der Transaktion, die den Kredit zur Verfügung stellt zurückzahlt. Rückzahlung und Auszahlung fallen somit durch einen Smart Contact in einer einzelnen Transaktion zusammen.

Dadurch lassen sich Arbitrage-Möglichkeiten auf Dezentralen Exchange (DEX) ausnutzen, was den Markt langfristig sogar effektiver werden lassen kann. Momentan sind die verschiedenen DEXs aber noch weit davon entfernt reibungslos zu funktionieren, was es einem „Bad Player“ ermöglicht Flash-Loans zu missbrauchen.

Anstatt eine Arbitrageoption auszunutzen hat der Angreifer selbst die Arbitragemöglichkeit herbeigeführt. Durch einen Flash-Loan hat er Kurse auf einer Harvest Finance ähnlichen Plattform manipuliert.

Anschließend konnte er bei Harvest Finance über Arbitrage große Mengen der Stable Coins fUSDT und fUSDC abziehen. Die erbeuteten Token tauschte er mittels UniSwap gegen Wrapped Bitcoin (WBTC) oder renBTC und verschleierte diese, nachdem er sie in Bition umgewandelt hat, mit Hilfe eines Bitcoin-Mixer. Insgesamt konnte der Angreifer 24 Millionen US-Dollar, die er derzeit größtenteils in Bitcoin gespeichert hat, erbeuten.

Rekordhandelsvolumen von zwei Milliarden US-Dollar auf Uniswap: Liquidity-Anbieter profitieren ungewollt

Fakt ist, dass sowohl das Handelsvolumen auf Uniswap als auch auf Harvest Finance durch den Angreifer dramatisch in die Höhe schoss. Das Uniswap Handelsvolumen, der letzten 24 Stunden verzwanzigfachte sich fast und beläuft sich momentan auf mehr als zwei Milliarden US-Dollar.

Verantwortlich für diese Zunahme waren überwiegend die Handelspaare ETH-USDT und ETH-USDC, die unteranderem durch den Flash Loan aufgebläht worden sind.

Überraschend wurden diejenigen, die auf Uniswap Liquidität bereitstellen, ungewollt zu Profiteuren des Angriffs. Da die Liquidity-Anbieter von einem erhöhten Handelsvolumen profitieren, erhielten sie einen Teil der gestohlenen Token.

Harvest Finance setzt 100.000 US-Dollar Kopfgeld aus

Kurz nachdem das Protokoll attackiert worden ist, setzte Harvest Finance ein Kopfgeld auf den Angreifer aus.

Außerdem behauptete, das Anonyme Team hinter dem DeFi-Projekt, dass mittlerweile umfassende persönlichen Details über den Angreifer bekannt sind:

Trotz des unerwarteten Angriffs verwaltet das Harvest Finance Protokoll noch immer Benutzereinlagen im Wert von knapp 588 Millionen US-Dollar. Dieser Betrag belief sich laut dem DeFi Pulse, kurz vor dem Angriff auf über 1 Milliarde Dollar. Auch der Kurs des FARM-Token fiel nach dem Angriff um 50 Prozent.