面临此类项目，需要有履历富厚的区块链项目专业审计人员，从传统代码审计、逻辑审计、金融模子审计等多角度对项目标安详举办慢慢且完备的审核，才可确保项目标安详。

这种生意业务影响价值的手段可以是直接改变，也可以是改变生意业务物的数目来间接的影响价值。

图1：DelayMinter.sol

安详这个话题难以简朴概述，非细致的讲授不能窥伺一二。

按照官方陈诉，计较了进攻者返还给项目标1300万USDC和11万USDT之后，总损失高出2亿人民币。

https://github.com/harvest-finance/harvest/blob/master/contracts/Storage.sol

图2：Governable

Harvest.Finance，它的名字很是直观的说明白其设计意图 ——活动性挖矿。

10月26日Harvest.Finance项目也产生了套利进攻事件，损失超3380万美元。

图4：Harvest.Finance套利进攻的生意业务之一

1. 闪电贷借贷获得大笔USDC和USDT；

该项目标代码已经开源，网站社区等也一应俱全。尽量Harvest.Finance的审计陈诉已发布，其项目中被审计部门的安详性今朝可以被信任，可是这并不能说明Harvest.Finance的整体安详性获得了保障。

2. 操作借贷所得USDT通过Curve转换为USDC，提高USDC价值 ；

产生套利事件需要的条件其实很是直观：可以完成低买高卖。

即便项目打点者插手了一个延迟操纵的成果，并配置了每一个铸币操纵都需要提前发布给社区，这依旧无法从基础上办理问题。尤其是当Harvest.Finance项目把延迟的时间期限配置为12个小时，这也违背了大部门人的作息纪律。

通过调查代码可以相识到，该项目标管理与重要操纵的节制权都被项目打点者据有，中心化水平极高，而这一点明明违背了以去中心化为根基的活动性挖矿项目标本质。

图1中第102行起的函数executeMint()的成果是举办铸币操纵，由于onlyGovernance的限制，使得只有于onlyGovernance许可的地点可以执行该函数，而onlyGovernance的界说来自于图2中14行与图3中27行的代码，最终从图3的28行可以看到所谓的“Governance”其实仅是指项目拥有者自己，并不是如名称所体现指代一个打点委员会。

参考链接：

除了项目标管理中心化水平过高的通病，活动性挖矿项目同样存在被套利进攻的风险。

4. 将初始借贷所得的USDC通过Curve转换为USDT，提高USDT的价值，同时USDC价值低落 ；

https://github.com/harvest-finance/harvest/blob/master/contracts/DelayMinter.sol

活动性挖矿项目自身通过生意业务来铸币可能燃烧币的操纵，十分容易满意改变生意业务物的操纵要求。

最终进攻者操作雷同操纵，完成了14笔操作针对USDC的套利生意业务，然后操作同样的思路，针对USDT完成了别的13笔套利生意业务。

5. 最终进攻者将持有额所有fUSDC转换回USDC，此时因为Curve中的USDC价值低落，导致影响了兑换回USDC的数目增加。

传统的代码审计并不适合包罗活动性挖矿在内的区块链项目。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。