Harvest Finance（于 2020 年 9 月推出）是一个收益耕作平台，可从 DeFi（去中心化金融） 协议中耕作最高的可用收益。它有自己的现金流代币，股票代码为 $FARM。 2020 年 10 月，该平台上的总锁定价值 (TVL) 超过 10 亿美元。^[1]

2020 年 10 月，Harvest Finance 在一次套利交易操纵了协议投票中持有的稳定币的价格后，被利用了 2400 万美元。根据 DefiLlama 的数据，FARM 在一小时内下跌了 65%，Harvest Finance 的总锁定价值从略高于 10 亿美元降至 2.9 亿美元。截至 2022 年 6 月，其 TVL 已降至 1.09 亿美元。 据报道，该项目背后的匿名开发者拥有一个管理密钥，该密钥使其持有者能够随意铸造代币并窃取用户的资金。因此，治理密钥的持有者理论上可以窃取承诺给该协议的所有 10.5 亿美元资产，以及 Uniswap 池中的资金。^[2][26]

背景

Harvest Finance 于 2020 年 9 月 1 日推出，旨在通过自动将资本分配给提供最高回报的 DeFi 协议，从而最大限度地提高收益耕作者的回报。^[3] 他们的平台使用“最新的耕作技术”优化收益。 在他们的发布声明（发布在 Medium 上）中，他们解释说：

我们希望这将使收益耕作更容易获得，并有助于创建一个可持续的、由社区管理的耕作合作社，该合作社只有一个目标：#BreadForThePeople。🥖👨‍🌾👩🏻‍🌾 ^[4]

Harvest Finance 有一个股票代码为 $FARM 的代币，该代币的供应量为 690,420 FARM，将在推出后的四年内分发。^[5]

10 月中旬左右，Harvest Finance 积累了超过 3.34 亿美元的 TVL。从这个里程碑开始的接下来一周，其 TVL 翻了一番，超过 7.04 亿美元，根据 DeFi Pulse 的数据，它成为第七大最有价值的 DeFi 协议。^[6] 截至 2020 年 10 月 21 日中旬，其 TVL 正式超过 10 亿美元。^[7]

Harvest Finance 协议旨在用户友好且每个人都可以访问。该平台的界面易于导航，其文档清晰简洁。此外，该协议提供了各种各样的功能和自定义选项，使其成为经验丰富的用户和新手用户的有吸引力的选择。^[27]

技术

协议

Harvest Finance 的协议设计会自动耕作最高的可用收益，并将利润分配给池中的用户。 大多数资产都可以通过该平台进行耕作。 如果没有，一旦“开发出各自的策略”，它们将立即可用。

参与平台协议的激励措施包括接收平台的原生代币：$FARM。 协议的利润分配给那些持有 $FARM 的人。^[8]

$FARM

FARM 代币是 Harvest Finance 平台的治理代币。 FARM 用于质押和投票，以确定协议的方向。 您质押的 FARM 越多，您对有关协议的决策的影响就越大。^[28]

FARM 也用作贷款池中的抵押品。 贷方可以将 FARM 存入池中，并赚取其存入代币的利息。 借款人可以使用 FARM 作为抵押品，从池中借用其他资产。^[29]

FARM 用例

• 访问耕作平台：FARM 代币授予用户访问耕作平台的权限。 通过质押 FARM 代币，用户将能够耕作各种数字资产。
• 获得奖励：农民将因其对平台的贡献而获得 FARM 代币奖励。
• 投票：FARM 代币持有者将拥有平台上的投票权，他们可以使用这些投票权来影响项目的方向。
• 列出新资产：FARM 代币持有者可以在耕作平台上列出新资产；
• 交易：FARM 代币可以在各种交易所进行交易。^[30]

代币分配

$FARM 的总供应量为 690,420 FARM。 这些代币将从其发布之日（2020 年 8 月 29 日）起分发四年。 在最初的四个星期后，它每周分发 23555 FARM。 它的分配分为三个不同的类别。

• 70% 用于流动性提供者
• 10% 用于运营资金库的奖励
• 20% 用于 Harvest Finance 团队的奖励^[9]

上市交易所

Farm 可以在以下交易所交易：

• Bancor Network
• Uniswap
• Sushiswap
• Debank
• Paraswap
• Binance
• Coinbase
• Hotbit
• Crypto. Com^[31]

争议

2020 年 10 月 23 日，CoinTelegraph 报道称，Harvest Finance 拥有一个管理密钥，该密钥使其持有者能够随意铸造代币并窃取用户的资金。 正如审计公司 PeckShield 和 Haechi 以及 DeFi 社区成员 Chris Blec 所强调的那样，治理参数不是由具有明确规则的合同设置的。 管理密钥（据推测由该项目背后的匿名开发者持有）可用于任意铸造新的 FARM 代币。 这种权力可能允许治理密钥持有者创建无限数量的代币，并耗尽代币的 Uniswap 池中的资金，截至 10 月中旬，该池持有 1200 万美元的 USD Coin (USDC)。^[10]

Haechi 强调，除了铸造机制外，治理密钥持有者还可以随意更改金库功能，这可以通过提交一个虚假策略来利用，该策略只是将资金发送到攻击者控制的地址。 因此，治理密钥的持有者理论上可以窃取承诺给该协议的所有 10.5 亿美元资产，以及 Uniswap 池中的资金。^[11]

DeFi 投资者 Tetranode 据称将其投资组合的 1% 投资于 Harvest，他要求该项目包括一个 12 小时的锁定仪表板。 因此，如果开发者引入任何可疑的更改，用户将能够在锁定期间退出他们的头寸。^[12][14]

为了回应审计，Harvest Finance 团队引入了一个 12 小时的时钟锁，如果检测到任何不正当行为，该锁应该为用户提供足够的提前警告，但是这需要社区的持续警惕。^[13]

黑客事件

根据 10 月 26 日出现的报告，价值约 2400 万美元的资金被一名身份不明的攻击者从 Harvest Finance 池中耗尽并兑换为 renBTC (rBTC)。

Harvest Finance 透露，黑客“操纵了一个货币乐高（Curve 池）上的价格，多次耗尽了另一个货币乐高 [farm USDT (fUSDT), farm USDC (fUSDC)]。 然后，攻击者将资金转换为 renBTC 并退出到比特币。”^[15] 其他资金通过 Tornado Cash（一种以太坊混淆软件）混合。 袭击发生后，投资者似乎从该网站撤出了大约 3.5 亿美元。 Harvest Finance 背后的匿名团队在一条推文中说：

“我们正在积极解决减轻对稳定币和 BTC 池的经济攻击的问题，并将在此线程中实时更新（原文如此），一旦有更多详细信息可用。”^[16]

攻击者随后以 Tether 和 USD Coin 的形式将约 250 万美元返还给部署者。 Harvest Finance 在推特上说：“这将使用快照按比例分配给受影响的存款人。”^[18]

该团队进一步表示，“经济攻击”是通过操纵 Curve Finance（另一个 Harvest Finance 合约与之交互的 DeFi 协议）上的稳定币价格来实现的。 该项目的管理员声称已将“100% 的稳定币和 BTC Curve 策略资金”提取到金库，并且“正在阻止向 稳定币 和 BTC 金库存款”，Harvest 团队在该项目的 Discord 中说。^[17]

根据 CoinGecko 的数据，Harvest 的原生代币 Farm 在消息传出后下跌了 54%，至 101.79 美元。 根据 DeFi Pulse 的数据，袭击发生后，锁定在该协议中的资金也从 10 亿美元下降了 70%，至 2.96 亿美元。 ^[19][22]

Harvest 提供了黑客的 10 个比特币地址列表，它认为被盗资金可能已转移到这些地址。 它还要求 Binance、Coinbase 和 Huobi 等交易所阻止攻击者的地址。^[20] Harvest Finance 还直接呼吁攻击者归还资金。 DeFi 协议在一条推文中说：“对于攻击者：您已经证明了自己的观点，如果您可以将资金归还给用户，社区（包括许多从远处观看 DeFi 的旁观者）将不胜感激。”^[24]

该平台表示，有“大量关于攻击者的个人身份信息，他在加密社区中广为人知”。 Harvest Finance 不愿泄露网络窃贼的身份，而是提供了 10 万美元的赏金，“奖励给第一个或第一个团队联系攻击者”。^[21]

10 月 29 日，Harvest Finance 将其赏金从 10 万美元提高到 100 万美元，以获取导致归还 2400 万美元被盗资金的信息。^[23][25]