Harvest Finance, protocollo DeFi che è riuscito ad attrarre oltre 1 miliardo di dollari di fondi, ha una admin key che dà ai suoi detentori la possibilità di emettere token a piacimento e rubare i fondi degli utenti.
Come rilevato dalle società di revisione PeckShield ed Haechi, nonché evidenziato da Chris Blec, membro della community DeFi, i parametri di governance non sono fissati da un contratto con regole ben definite. Una admin key, presumibilmente detenuta dagli anonimi sviluppatori del progetto, potrebbe essere usata per rilasciare arbitrariamente nuovi token FARM: questo consentirebbe agli sviluppatori di creare un numero illimitato di token e di drenare così i fondi nel pool Uniswap del token, che attualmente detiene 12 milioni di dollari denominati in USD Coin (USDC).
Harvest Finance è un sistema di yield management automatico basato su vault molto simili a quelli di Yearn.finance. Haechi ha sottolineato che, oltre alla meccanica di emissione, il detentore della chiave di governance ha anche la possibilità di modificare a piacimento le funzionalità dei vault. Questa funzione potrebbe essere sfruttata da dei malintenzionati semplicemente inviando i fondi ad un altro indirizzo, controllato dai criminali.