Harvest Finance โครงการ decentralized finance (DeFi) ที่ประสบความสำเร็จในการดึงดูดเงินกว่า 1 พันล้านดอลลาร์ที่ถูกล็อคอยู่ มี admin key ที่ช่วยให้สามารถสร้างโทเค็นได้ตามต้องการ และขโมยเงินของผู้ใช้
ดังที่ระบุไว้โดยบริษัทตรวจสอบอย่าง PeckShield และ Haechi และได้ออกมาย้ำเตือนโดย Chris Blec สมาชิกชุมชน DeFi ซึ่งพบว่า governance parameters ไม่ได้มีการกำหนด contract ไว้อย่างชัดเจน โดยที่ admin key ซึ่งสันนิษฐานว่าเป็นของนักพัฒนาที่ไม่ทราบตัวตน ที่อยู่เบื้องหลังโครงการ สามารถใช้เพื่อสร้างโทเค็น FARM ใหม่ได้โดยพลการ
อำนาจดังกล่าวสามารถช่วยให้ผู้ถือ governance key สามารถสร้างโทเค็นได้ไม่จำกัด จำนวน และสูบเงินจากใน Uniswap pool ของโทเค็น ซึ่งปัจจุบันมีเหรียญ USDC (USDC) อยู่ 12 ล้านเหรียญ
Harvest Finance เป็น automated yield management ที่มีกลยุทธ์ที่ใช้ vault คล้ายกับ Yearn.finance โดย Haechi ได้เน้นย้ำว่านอกเหนือจากกลไกการสร้างเหรียญแล้ว ผู้ถือ governance key ยังมีความสามารถในการเปลี่ยนฟังก์ชันการทำงานของ vault ได้ตามต้องการ
ดังนั้นผู้ถือ governance key จะมีความเป็นไปได้ทางทฤษฎีในการขโมยทรัพย์สินทั้งหมด 1.05 พันล้านดอลลาร์ที่เกี่ยวข้องกับโปรโตคอล นอกเหนือจากเงินทุนใน Uniswap pool
ในการตอบสนองต่อการตรวจสอบ ทีมงานได้แนะนำว่าการใช้ 12-hour time lock ซึ่งเป็นคำเตือนที่เพียงพอแก่ผู้ใช้หากตรวจพบการเล่นผิดกติกา – แต่ต้องมีการเฝ้าระวังจากชุมชนอย่างต่อเนื่อง
โครงการนี้กำลังดำเนินการ yield farm แบบคลาสสิกคล้ายกับ “เหรียญอาหาร” หลาย ๆ โครงการ โดยผู้ใช้สามารถส่ง Ether ( ETH ), Wrapped Bitcoin (WBTC) และทรัพย์สินอื่น ๆ เพื่อผลตอบแทน
อ้างอิง : LINK
