据推特网友发现,疑似有黑客借用闪电贷,使用 20 ETH 从 Harvest 中套现超 400 万美元,此次总转账费为 5.19 ETH。此次黑客使用的初始 ETH 来源为以太坊匿名转账平台 Tornado.cash。此次操作的 Hash 为:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。 从以太坊浏览器上可以看到,该黑客向 Harvest Finance 合约(地址: 0xc6028a9fa486f52efd2b95b949ac630d287ce0af)转账 20 枚 WETH,最后又将这 20 枚 ETH 转回了自己的地址。该黑客的操作步骤较多,通过多个合约交易成功套现约 413 万美元。Harvest Finance 更新推特称,像其他套利经济攻击,这一次起源于一笔巨额闪电贷,并多次操纵一个货币乐高(Curve y Pool)的价格,以耗尽另一个货币乐高(fUSDT、fUSDC)的资金。攻击者随后将资金转换为 renBTC 并套现。像其他闪电贷攻击,攻击者没有给出响应时间,连续 7 分钟端到端地进行攻击。攻击者以 USDT 和 USDC 的形式向 Deployer 退回 2478549.94 美元。这将通过快照按比例分配给受影响的储户。