Desarrolladores anónimos detrás de un ‘yield farm’ de DeFi podrían robar USD 1 mil millones en 12 horas
Harvest Finance, un proyecto financiero descentralizado que logró atraer más de USD 1 mil millones en fondos bloqueados, tiene una clave de administración que brinda a sus tenedores la capacidad de acuñar tokens a voluntad y robar los fondos de los usuarios.
Como señalaron las empresas de auditoría PeckShield y Haechi, los parámetros de gobernanza no se establecen mediante un contrato con reglas claramente definidas. Una clave de administrador, presumiblemente en poder de los desarrolladores anónimos detrás del proyecto, podría usarse para acuñar arbitrariamente nuevos tokens FARM.
Este poder podría permitir a los tenedores de claves de gobierno crear un número ilimitado de tokens y drenar fondos en el grupo Uniswap del token, que actualmente tiene USD 12 millones en USDC.
Harvest Finance es un sistema de gestión de rendimiento automatizado, que presenta estrategias basadas en bóveda similares a Yearn Finance. Haechi destacó que, además de la mecánica de acuñación, el titular de la clave de gobierno tiene la capacidad de cambiar la funcionalidad de la bóveda a voluntad, lo que podría explotarse mediante el envío de una estrategia falsa que simplemente envía los fondos a una dirección controlada por el atacante.
Los titulares de la clave de gobernanza tendrían así la posibilidad teórica de robar todos los USD 1,05 mil millones en activos comprometidos con el protocolo, además de los fondos del pool común Uniswap.
En respuesta a las auditorías, el equipo introdujo un bloqueo de tiempo de 12 horas que debería advertir con suficiente anticipación a los usuarios si se detecta algún acto sucio, pero eso requiere una vigilancia constante de la comunidad.
El proyecto está ejecutando actualmente un yield farm clásico similar a muchas de las “monedas food”. Los usuarios pueden comprometer Ether (ETH), Wrapped Bitcoin (BTC) y otros activos, pero el rendimiento de FARM más alto se puede encontrar enviando tokens de FARM ellos mismos, sin requerir necesariamente la capa adicional de abstracción de tokens de grupo de Uniswap. Esta dependencia circular es característica de muchos esquemas Ponzi de criptomonedas.
El equipo es completamente anónimo, aunque el proyecto logró atraer a una comunidad relativamente considerable y se ha involucrado en la comunidad mediante la distribución de subvenciones.
Si bien nada sugiere intenciones maliciosas por ahora, el proyecto está fuertemente centralizado y los posibles farmers deben saber que están confiando en un grupo anónimo de desarrolladores para resistir la tentación de huir con su dinero, de manera similar a cómo la comunidad inicialmente confió en el fundador de SushiSwap.
Sigue leyendo: