in

Gli anonimi sviluppatori di Harvest Finance potrebbero rubare un miliardo di dollari in 12 ore

Harvest Finance, protocollo DeFi che è riuscito ad attrarre oltre 1 miliardo di dollari di fondi, ha una admin key che dà ai suoi detentori la possibilità di emettere token a piacimento e rubare i fondi degli utenti. 

Come rilevato dalle società di revisione PeckShield ed Haechi, nonché evidenziato da Chris Blec, membro della community DeFi, i parametri di governance non sono fissati da un contratto con regole ben definite. Una admin key, presumibilmente detenuta dagli anonimi sviluppatori del progetto, potrebbe essere usata per rilasciare arbitrariamente nuovi token FARM: questo consentirebbe agli sviluppatori di creare un numero illimitato di token e di drenare così i fondi nel pool Uniswap del token, che attualmente detiene 12 milioni di dollari denominati in USD Coin (USDC). 

Harvest Finance è un sistema di yield management automatico basato su vault molto simili a quelli di Yearn.finance. Haechi ha sottolineato che, oltre alla meccanica di emissione, il detentore della chiave di governance ha anche la possibilità di modificare a piacimento le funzionalità dei vault. Questa funzione potrebbe essere sfruttata da dei malintenzionati semplicemente inviando i fondi ad un altro indirizzo, controllato dai criminali. 

I detentori della chiave di governance avrebbero così la possibilità di rubare tutti gli 1,05 miliardi di dollari di asset investiti nel protocollo, oltre ai fondi del pool Uniswap. 

Fonte: DeFi Pulse

In risposta alle critiche, il team ha introdotto un blocco temporale di 12 ore per dare un preavviso sufficientemente ampio agli utenti nel caso in cui qualcuno tentasse un attacco, ma ciò richiede una vigilanza costante sul protocollo da parte della community. 

Il progetto sta attualmente gestendo una classica yield farm, in maniera simile a quanto fatto da molte “food coin”. Gli utenti possono investire Ether (ETH), Wrapped Bitcoin (WBTC) ed altri asset, ma il più alto rendimento di FARM si ottiene tramite i FARM token stessi. Una tale dipendenza circolare è caratteristica di molti schemi Ponzi del mondo crypto. 

Il team è completamente anonimo, anche se il progetto è riuscito ad attrarre un seguito relativamente ampio ed è stato coinvolto nella community distribuendo sovvenzioni.

Anche se per ora non si sono registrati atti ostili, il progetto è fortemente centralizzato e i potenziali farmer dovrebbero essere consapevoli della circostanza in cui si trovano: affidando i propri soldi ad un gruppo anonimo di sviluppatori, ripongono la loro fiducia nel fatto che questi ultimi resistano alla tentazione di scappare con i loro soldi, in modo simile a quanto poi effettivamente verificatosi con l’ideatore di SushiSwap.



Source link

Criptomonete & Blockchain

negli ultimi due mesi abbiamo subito ‘centinaia di migliaia di attacchi’ tramite bot