摘要：Yearn.finance开发人员Artem“Banteg”K，10月29日，安全研究员李文鼎通过必要的安全披露渠道联系

Harvest Finance过去曾是以太坊上价值10亿美元的农业协议，于上周遭受了残酷的攻击，用户账户上大约有3000万美元被抹去。
这名化名攻击者利用了一笔闪电贷款，以及Curve、Uniswap和Harvest之间的一系列操纵性交易，让他们从Harvest的池子里消耗价值数百万美元的稳定币。

报告表明，攻击者本可以继续进行，并在协议中提取了近10亿美元的稳定币和代币化的比特币存款，但出于无法解释的原因而拒绝这样做。
这次攻击突显了如何利用闪电贷款来利用DeFi协议中的经济漏洞，并筹集数百万美元。
尚不清楚他是否受到了Harvest Finance攻击的启发，该领域的一位安全研究员在最初的收益汇总器Yearn.finance中发现了类似的经济缺陷。幸运的是，他没有利用此漏洞，而是向Yearn.finance团队报告了此漏洞。
Yearn.finance开发人员快速修复问题
正如报道Yearn.finance开发人员Artem“Banteg”K，10月29日，安全研究员李文鼎通过必要的安全披露渠道联系了协议背后的团队。
李文鼎描述了可能在Yearn.finance的闪存攻击的潜在攻击媒介。Yearn.finance的核心产品是其保管库，该保管库的运行策略可以自动在每个保管库中存放已存放的令牌并产生服务器场。
理论上的攻击向量与Harvest的类似，因为Yearn.finance Vault在存入和进入时没有正确考虑Curve内的滑移，从而使他们可以利用Curve上稳定币的价格来发挥优势。
正如Banteg进一步解释的那样：
“综合起来，这意味着攻击者可以限制Curve y池中的DAI供应，并从如下所述的不平衡中获利。”
幸运的是，该漏洞被迅速修复，并且保管库不再容易受到攻击。
据说，Yearn.finance的DAI和GUSD保险库容易受到同一攻击媒介的攻击，但是已经采取了适当的措施来避免这种情况的发生。

此攻击媒介不久后又被修补。在9月底宣布，开发人员修补了“漏洞，该漏洞可能使yDAI，yTUSD和yUSD保险库的资金面临风险。”