В октябре 2020 года протокол Harvest Finance потерял около $24 млн из-за атаки с использованием flash loan и манипуляции ценами в пулах Curve. Этот кейс стал одним из самых показательных в DeFi: уязвимость была не в “взломе кода” в классическом смысле, а в логике оценки активов. 🧠
Что такое Harvest Finance
Harvest Finance — это DeFi-протокол для автоматического фарминга доходности. Пользователи вносили стейблкоины в хранилища, а протокол перераспределял ликвидность для получения максимального APY.
Как произошла атака
Атакующий использовал крупный flash loan — мгновенный заем, который берется и возвращается в рамках одной транзакции.
Схема была такой:
- злоумышленник занял большой объем средств через flash loan
- резко сместил баланс в пулах Curve, что временно изменило цену активов
- внес активы в Harvest по искаженной оценке
- затем вывел их с прибылью, когда цена вернулась ближе к норме
- повторил цикл несколько раз в одной серии операций
Итог: протокол неправильно оценивал стоимость депозитов и позволял извлекать прибыль за счет пользователей.
Почему это стало возможным
Главная проблема — зависимость от спотовой цены или оценки, которую можно было изменить в моменте крупной сделкой. Если протокол опирается на данные, чувствительные к резким колебаниям ликвидности, он становится мишенью для flash loan-атак.
Что такое манипуляция оракулом
Хотя в этом кейсе часто говорят “манипуляция оракулом”, точнее — это манипуляция источником ценообразования, на который опирался протокол. Если оракул или внутренняя логика берет цену из AMM-пула без сглаживания, злоумышленник может временно “нарисовать” нужную цену. 📉📈
Какие выводы сделала индустрия
- начали использовать TWAP — средневзвешенную цену за период, а не мгновенную
- добавили ограничения на ввод/вывод при аномальных отклонениях цены
- усилили проверку глубины ликвидности источников
- стали комбинировать несколько оракулов вместо одного
- внедрили паузы и защитные механизмы при резкой волатильности
Почему этот кейс важен сегодня
Атака на Harvest Finance показала:
- даже аудированный протокол может быть уязвим на уровне экономической модели
- flash loan — это не баг, а инструмент, который усиливает любую слабую логику
- безопасность DeFi — это не только смарт-контракт, но и устойчивость механизма ценообразования 🔐
Что важно проверять инвестору
Перед вложением в DeFi смотрите:
- откуда протокол берет цену активов
- есть ли TWAP или защита от манипуляций
- насколько глубокая ликвидность у используемых пулов
- были ли похожие инциденты в истории проекта
- как команда реагирует на рыночные аномалии
Кейс Harvest Finance — напоминание, что в DeFi атакуют не только код, но и математику протокола. И если цена актива может быть сдвинута на несколько минут, этого уже достаточно для многомиллионного ущерба. 🚨
Подборку каналов про криптовалюты — с новостями, аналитикой и разбором DeFi — стоит посмотреть ниже.