하비스트 파이낸스: 해커가 수익률 농업 프로토콜에서 2400만 달러를 빼돌렸습니다

• 수익률 기반 파밍 프로토콜인 하비스트 파이낸스가 해킹당했습니다.
• 공격자는 2400만 달러를 훔쳐 달아났지만, 250만 달러를 돌려줬다.

탈중앙화 금융(DeFi) 프로토콜 악용 문제가 심각해지면서 업계의 빠른 성장에 큰 위협이 되고 있습니다. 트위터를 통해 공유된 여러 정보에 따르면, 몇 시간 전 한 해커가 수익률 농업 프로토콜인 하비스트 파이낸스(Harvest Finance)의 버그를 악용하여 프로젝트에 예치된 거의 모든 자금을 빼돌렸습니다.

하비스트 파이낸스, 정체불명의 공격으로 약 2400만 달러 손실

입수 된 정보 에 따르면 , 하비스트 파이낸스(Harvest Finance) 프로토콜이 오늘 새벽 해킹 공격을 받아 거의 모든 자산이 탈취당했습니다. 이 수익률 농업 프로토콜은 공격자에게 약 2,400만 달러의 손실을 입혔습니다. 이후 공격자들은 프로토콜 배포자에게 약 250만 달러를 반환했습니다. 해커가 왜 이 정도 금액을 반환했는지는 아직 알려지지 않았습니다. 하지만 탈중앙화 금융( DeFi 프로토콜 공격자가 ) 탈취한 자금의 일부를 반환한 것은 이번이 처음은 아닙니다 .

한편, 공격자는 탈취한 하비스트 파이낸스 자산을 Bitcoin (BTC)의 토큰화된 버전인 renBTC와 토네이도로 변환하여 cash 할 수 있었습니다. 하비스트 파이낸스 팀은 프로토콜 해킹 방식에 대한 단서를 제공하면서, 이번 공격이 커브 파이낸스 Y 풀을 통해 이루어졌다고 밝혔습니다. 해당 성명서는 다음과 같습니다 

이번 경제 공격은 Curve y 풀을 통해 이루어졌으며, Curve에서 스테이블코인의 가격을 비정상적으로 높이고, 수확(harvest) 방식을 통해 대량의 자산을 입출금하는 방식으로 진행되었습니다.

버그가 있는 프로토콜

별도의 게시물한 트위터 사용자는 코드 분석 결과 하비스트 파이낸스 프로토콜에서 두 가지 오류를 발견했다고 밝혔습니다. 해당 게시물에 따르면 프로토콜 구현상의 버그와 설계상의 오류가 있었다고 합니다.

2. 허술한 설계 – 전략에 차익거래 확인 기능이 있지만 허용 오차가 충분하지 않았습니다. 제가 직접 경험했을 당시의 허용 오차 값을 확인할 수는 없었지만, 기본값인 3%는 너무 과했습니다. pic.twitter.com/p6vxhpHaRl

—cake 버니가 #BSC에 있어요 (@cake버니핀) 2020년 10월 26일

오늘 발생한 사건으로 인해 코인게코에서 해당 프로토콜의 거버넌스 토큰(FARM) 가격이 60% 하락했습니다.