Взлом Harvest Finance 2020: манипуляция оракулом

Объясняем крипту простыми словами: как купить первый раз, безопасно хранить, переводить и не нарушать закон в РФ. Делаем пошаговые гайды, чек‑листы и разборы метрик CoinMarketCap/Gecko без шума и хайпа. Наша цель — ваша безопасность, понимание рисков и уверенные действия в мире цифровых активов.

Harvest Financeflash loanоракул

В октябре 2020 года протокол Harvest Finance потерял около $24 млн из-за атаки с использованием flash loan и манипуляции ценами в пулах Curve. Этот кейс стал одним из самых показательных в DeFi: уязвимость была не в “взломе кода” в классическом смысле, а в логике оценки активов. 🧠

Что такое Harvest Finance
Harvest Finance — это DeFi-протокол для автоматического фарминга доходности. Пользователи вносили стейблкоины в хранилища, а протокол перераспределял ликвидность для получения максимального APY.

Как произошла атака
Атакующий использовал крупный flash loan — мгновенный заем, который берется и возвращается в рамках одной транзакции.

Схема была такой:

  • злоумышленник занял большой объем средств через flash loan
  • резко сместил баланс в пулах Curve, что временно изменило цену активов
  • внес активы в Harvest по искаженной оценке
  • затем вывел их с прибылью, когда цена вернулась ближе к норме
  • повторил цикл несколько раз в одной серии операций

Итог: протокол неправильно оценивал стоимость депозитов и позволял извлекать прибыль за счет пользователей.

Почему это стало возможным
Главная проблема — зависимость от спотовой цены или оценки, которую можно было изменить в моменте крупной сделкой. Если протокол опирается на данные, чувствительные к резким колебаниям ликвидности, он становится мишенью для flash loan-атак.

Что такое манипуляция оракулом
Хотя в этом кейсе часто говорят “манипуляция оракулом”, точнее — это манипуляция источником ценообразования, на который опирался протокол. Если оракул или внутренняя логика берет цену из AMM-пула без сглаживания, злоумышленник может временно “нарисовать” нужную цену. 📉📈

Какие выводы сделала индустрия

  • начали использовать TWAP — средневзвешенную цену за период, а не мгновенную
  • добавили ограничения на ввод/вывод при аномальных отклонениях цены
  • усилили проверку глубины ликвидности источников
  • стали комбинировать несколько оракулов вместо одного
  • внедрили паузы и защитные механизмы при резкой волатильности

Почему этот кейс важен сегодня
Атака на Harvest Finance показала:

  • даже аудированный протокол может быть уязвим на уровне экономической модели
  • flash loan — это не баг, а инструмент, который усиливает любую слабую логику
  • безопасность DeFi — это не только смарт-контракт, но и устойчивость механизма ценообразования 🔐

Что важно проверять инвестору
Перед вложением в DeFi смотрите:

  • откуда протокол берет цену активов
  • есть ли TWAP или защита от манипуляций
  • насколько глубокая ликвидность у используемых пулов
  • были ли похожие инциденты в истории проекта
  • как команда реагирует на рыночные аномалии

Кейс Harvest Finance — напоминание, что в DeFi атакуют не только код, но и математику протокола. И если цена актива может быть сдвинута на несколько минут, этого уже достаточно для многомиллионного ущерба. 🚨

Подборку каналов про криптовалюты — с новостями, аналитикой и разбором DeFi — стоит посмотреть ниже.

🫵 Подборка каналов
🐋 Каталог ботов и приложений
🛩 Навигация

Читайте так же