- Bitcoin(BTC)$96,589.00-0.73%
- Ethereum(ETH)$3,324.31-4.15%
- Tether(USDT)$1.00-0.02%
- XRP(XRP)$2.21-3.28%
- BNB(BNB)$658.56-3.39%
- Solana(SOL)$181.04-6.83%
- Dogecoin(DOGE)$0.314200-3.21%
- USDC(USDC)$1.00-0.04%
- Lido Staked Ether(STETH)$3,322.60-3.99%
- Cardano(ADA)$0.89-6.13%
Lodestar Finance використано під час атаки на флеш-позики
Протокол кредитування Lodestar Finance на основі арбітруму був використаний під час атаки на флеш-позику 10 грудня. За словами Lodestar, зловмисник маніпулював ціною токена plvGLP перед тим, як запозичити всю ліквідність платформи, використовуючи завищений токен.
У ланцюжку Twitter, Lodestar пояснив потік атаки. Зловмисник спочатку маніпулював обмінним курсом контракту plvGLP до 1,83 GLP за plvGLP, «експлойт, який сам по собі був би збитковим», заявила компанія.
Потім зловмисник надав Lodestar заставу plvGLP і позичив всю доступну ліквідність, переводячи частину коштів, «поки механізм співвідношення застави не завадив повній ліквідації plvGLP».
Після злому «кілька власників plvGLP також скористалися цією можливістю та також перерахували 1,83 glp за plvGLP». Хакер зміг спалити трохи більше 3 мільйонів у GLP, отримавши прибуток на «викрадених коштах на Lodestar – за вирахуванням GLP, який вони спалили», зазначає платформа DeFi.
Прибуток зловмисника склав близько $5,8 млн. Lodestar стверджує, що майже 2,8 мільйона GLP (близько 2,4 мільйона доларів США) можна було відновити, які повинні бути використані для виплати вкладникам. Компанія намагається домовитися про винагороду за помилку зі своїм експлуататором:
Якщо ви хакер, зв’яжіться з нами, щоб ми могли знайти угоду про білий капелюх і рухатися далі.
Повернення коштів наших користувачів є головним пріоритетом, і ми щедро винагородимо вашу співпрацю.#Хак #білийкапелюх #Арбітрум $LODE #Exploit #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (,) (@LodestarFinance) 10 грудня 2022 р
Основна вразливість, яка призвела до атаки, полягає всередині GLPOracle і в тому, як він веде свою ціну. В аналізі аудиторська група Solidity Finance заявила, що подія підкреслила, «що використання оракул, стійких до маніпуляцій, є критично важливою частиною DeFi, особливо в протоколах, які надають активи користувача».
У заяві агрегатора управління PlutusDAO зазначив що його «продукти та платформа працювали точно так, як передбачалося протягом усієї події. Усі кошти на Plutus повністю безпечні. Експлойт був виключно результатом реалізації оракула Lodestar». У ньому також зазначено:
«Ми хочемо взяти на себе відповідальність за просування неперевіреного протоколу. Хоча експлойт ні в якому разі не є провиною Plutus, ми визнаємо той факт, що ми надто прагнули просувати протокол, який інтегрує plvGLP. Оскільки plvGLP набуває значної популярності, ми хотіли висвітлити всі інтеграції plvGLP для нашої спільноти, щоб підкреслити впровадження та можливості, які ця інтеграція надала як окремим користувачам, так і протоколам. Ми приносимо вибачення за це. Ми взяли пістолет і надалі ми більше не будемо рекламувати протоколи, які не перевіряються. “
Атака Lodestar була схожа на експлойт Mango Markets 11 жовтня, коли було вкрадено понад 100 мільйонів доларів через зловмисника, який маніпулює даними оракула про ціни, дозволяючи хакерам брати позики в криптовалюті під заставу.