Harvest Finance, um projeto de finanças descentralizadas (DeFi) que conseguiu atrair mais de US$ 1 bilhão em fundos empenhados, tem uma chave de administrador que dá a seus detentores a capacidade de emitir tokens à vontade e roubar os fundos dos usuários.

Conforme observado pelas empresas de auditoria PeckShield e Haechi e ainda ressaltado por Chris Blec, um membro da comunidade DeFi, os parâmetros de governança não são definidos por um contrato com regras claramente definidas. Uma chave de administrador, presumivelmente mantida pelos desenvolvedores anônimos por trás do projeto, poderia ser usada para emitir arbitrariamente novos tokens FARM.

Esse poder poderia permitir que os detentores da chave de governança criassem um número ilimitado de tokens e drenassem fundos no pool Uniswap do token, que atualmente detém US$ 12 milhões em USD Coin (USDC).

O Harvest Finance é um sistema de gestão de rendimento automatizada, com estratégias baseadas em vault semelhantes ao Yearn.finance. Haechi destacou que, além da mecânica de emissão de tokens, o titular da chave de governança tem a capacidade de alterar a funcionalidade do tesouro à vontade, o que poderia ser explorado ao enviar uma estratégia falsa que simplesmente envia os fundos para um endereço controlado pelo invasor.

Os detentores da chave de governança teriam, assim, a possibilidade teórica de roubar US$ 1,05 bilhão em ativos empenhados no protocolo, além dos fundos do pool Uniswap.

Fonte: DeFi Pulse

Em resposta às auditorias, a equipe introduziu um bloqueio de tempo de 12 horas que deve avisar os usuários com antecedência suficiente se qualquer ação maliciosa for detectada - mas que requer vigilância constante da comunidade.

O projeto está atualmente administrando uma farm de rendimento clássica semelhante a muitas das "food coins". Os usuários podem empenhar Ether (ETH), Wrapped Bitcoin (WBTC) e outros ativos, mas o maior rendimento FARM pode ser encontrado enviando os próprios tokens FARM, sem necessariamente exigir a camada adicional de abstração de tokens do pool Uniswap. Essa dependência é característica de muitos esquemas Ponzi.

A equipe é completamente anônima, embora o projeto tenha conseguido atrair uma comunidade relativamente grande e se envolvido na comunidade distribuindo doações.

Embora nada possa sugerir intenções maliciosas por enquanto, o projeto é fortemente centralizado e os investidores em potencial devem estar cientes de que estão confiando em um grupo anônimo de desenvolvedores para resistir à tentação de fugir com seu dinheiro, da mesma forma que a comunidade inicialmente confiou no fundador do SushiSwap.

LEIA MAIS