Harvest Finance, un progetto di finanza decentralizzata che è riuscito ad attrarre oltre $ 1 miliardo di fondi bloccati, ha una chiave di amministrazione che offre ai suoi titolari la possibilità di coniare gettoni a volontà e rubare i fondi degli utenti.

Come rilevato dalle società di revisione PeckShield e Haechi, i parametri di governance non sono fissati da un contratto con regole chiaramente definite. Una chiave di amministrazione, presumibilmente detenuta dagli sviluppatori anonimi dietro il progetto, potrebbe essere utilizzata per coniare arbitrariamente nuovi token FARM.

Questo potere potrebbe consentire ai detentori delle chiavi di governance di creare un numero illimitato di token e drenare fondi nel pool Uniswap del token, che attualmente detiene $ 12 milioni in USDC.

Harvest Finance è un sistema di gestione del rendimento automatizzato, caratterizzato da strategie basate su vault simili a Yearn Finance. Haechi ha sottolineato che oltre alla meccanica del conio, il detentore della chiave di governance ha la possibilità di modificare a piacimento la funzionalità del caveau, che potrebbe essere sfruttata inviando una strategia fasulla che semplicemente invia i fondi a un indirizzo controllato da un utente malintenzionato.

I possessori della chiave di governance avrebbero così la possibilità teorica di rubare tutti gli $ 1,05 miliardi di asset impegnati nel protocollo, oltre ai fondi nel pool Uniswap.

Fonte: DeFi Pulse

In risposta agli audit, il team ha introdotto un blocco temporale di 12 ore che dovrebbe fornire un avviso sufficientemente avanzato agli utenti se viene rilevato un gioco scorretto, ma ciò richiede una costante vigilanza da parte della comunità.

Il progetto sta attualmente gestendo una classica fattoria di rendimento simile a molte delle “monete alimentari”. Gli utenti possono eseguire il commit di Ether (ETH), Bitcoin avvolto (BTC) e altre risorse, ma il rendimento più alto di FARM può essere ottenuto inviando i token FARM stessi, senza necessariamente richiedere lo strato aggiuntivo di astrazione dei token pool di Uniswap. Una tale dipendenza circolare è caratteristica di molti schemi Ponzi crittografici.

Il team è completamente anonimo, sebbene il progetto sia riuscito ad attrarre una comunità relativamente considerevole ed è stato coinvolto nella comunità distribuendo sovvenzioni.

Sebbene per ora nulla suggerisca intenzioni dannose, il progetto è fortemente centralizzato ei potenziali agricoltori dovrebbero essere consapevoli del fatto che si affidano a un gruppo anonimo di sviluppatori per resistere alla tentazione di scappare con i loro soldi, in modo simile a come il la comunità inizialmente si fidava del fondatore di SushiSwap.



Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here