Protokół pożyczkowy oparty na arbitrażu Lodestar Finance został wykorzystany w ataku pożyczki błyskawicznej 10 grudnia. Według Lodestar atakujący manipulował ceną tokena plvGLP przed pożyczeniem całej płynności platformy za pomocą zawyżonego tokena.
W wątku na Twitterze, Lodestar wyjaśnione przebieg ataku. Atakujący najpierw manipulował kursem wymiany kontraktu plvGLP do 1.83 GLP za plvGLP, „wykorzystanie, które samo w sobie byłoby nieopłacalne”, powiedziała firma.
Następnie atakujący dostarczył zabezpieczenie plvGLP firmie Lodestar i pożyczył całą dostępną płynność, wypłacając część środków „dopóki mechanizm współczynnika zabezpieczenia nie zapobiegł pełnej likwidacji plvGLP”.
Po włamaniu „kilku posiadaczy plvGLP również skorzystało z okazji i również wypłaciło 1.83 glp za plvGLP”. Haker był w stanie spalić nieco ponad 3 miliony w GLP, zarabiając na „skradzionych środkach na Lodestar – minus GLP, które spalili”, zauważyła platforma DeFi.
Atakujący zarobił około 5.8 miliona dolarów zysku. Lodestar twierdzi, że prawie 2.8 miliona GLP (około 2.4 miliona dolarów) było możliwe do odzyskania, co powinno zostać wykorzystane na spłatę deponentów. Firma próbuje wynegocjować nagrodę za błąd ze swoim exploiterem:
Jeśli jesteś hakerem, skontaktuj się z nami, abyśmy mogli znaleźć umowę typu white-hat i przejść dalej.
Odzyskiwanie funduszy naszych użytkowników jest głównym priorytetem i hojnie wynagrodzimy Twoją współpracę.#Włamać się #biały kapelusz #Arbitrum $LODE #Wykorzystać #DEFI https://t.co/SWlCr3KMib
— Lodestar Finanse (,) (@LodestarFinance) 10 grudnia 2022 r.
Główna luka, która doprowadziła do ataku, znajduje się wewnątrz GLPOracle iw sposobie, w jaki prowadzi swoją cenę. W analizie zespół audytowy Solidity Finance powiedział, że wydarzenie podkreśliło, że „wykorzystywanie wyroczni odpornych na manipulacje jest niezwykle ważnym elementem DeFi, szczególnie w protokołach, które pożyczają zasoby użytkownika”.
W oświadczeniu agregator zarządzania PlutusDAO zauważyć że „jego produkty i platforma działały dokładnie tak, jak powinny przez całe wydarzenie. Wszystkie środki na Plutusie są całkowicie bezpieczne. Exploit był wyłącznie wynikiem implementacji wyroczni Lodestar.” Stwierdzono również:
„Chcemy wziąć odpowiedzialność za promowanie nieaudytowanego protokołu. Chociaż exploit nie jest w żaden sposób winą Plutusa, zdajemy sobie sprawę z faktu, że byliśmy zbyt chętni do promowania protokołu integrującego plvGLP. Ponieważ plvGLP zyskuje na popularności, chcieliśmy zwrócić uwagę naszej społeczności na wszystkie integracje plvGLP, aby podkreślić przyjęcie i możliwości, jakie integracje stworzyły zarówno dla indywidualnych użytkowników, jak i protokołów. Za to przepraszamy. Skoczyliśmy z pistoletu i idąc dalej, nie będziemy już promować protokołów, które nie są audytowane”.
Atak Lodestar był podobny do exploita Mango Markets z 11 października skradziono ponad 100 milionów dolarów poprzez atakującego manipulującego danymi wyroczni cenowej, umożliwiając hakerom zaciąganie niedostatecznie zabezpieczonych pożyczek kryptowalutowych.
Źródło: https://cointelegraph.com/news/lodestar-finance-exploited-in-flash-loan-attack