Protokol požičiavania Lodestar Finance založený na arbitráži bol zneužitý pri bleskovom pôžičkovom útoku 10. decembra. Podľa Lodestaru útočník manipuloval s cenou tokenu plvGLP predtým, ako si požičal všetku likviditu platformy pomocou nafúknutého tokenu.
Vo vlákne na Twitteri, Lodestar vysvetlil útočný tok. Útočník najskôr zmanipuloval výmenný kurz zmluvy plvGLP na 1.83 GLP za plvGLP, „zneužitie, ktoré by bolo samo o sebe nerentabilné“, uviedla spoločnosť.
Potom útočník dodal plvGLP kolaterál spoločnosti Lodestar a požičal si všetku dostupnú likviditu, pričom vyplatil časť prostriedkov, „kým mechanizmus kolateralizačného pomeru nezabránil úplnej likvidácii plvGLP“.
Po hacknutí „viacerí držitelia plvGLP tiež využili príležitosť a tiež inkasovali 1.83 glp za plvGLP“. Hacker dokázal spáliť o niečo viac ako 3 milióny v GLP, čím zarobil na „ukradnutých finančných prostriedkoch na Lodestar – mínus GLP, ktoré spálili“, poznamenala platforma DeFi.
Útočník zarobil okolo 5.8 milióna dolárov. Lodestar uvádza, že takmer 2.8 milióna zo SLP (približne 2.4 milióna dolárov) bolo vymožiteľných, čo by sa malo použiť na vyplatenie vkladateľov. Spoločnosť sa snaží vyjednať odmenu za chyby so svojím vykorisťovateľom:
Ak ste hacker, obráťte sa na nás, aby sme našli dohodu a mohli ísť ďalej.
Vymáhanie finančných prostriedkov našich používateľov je hlavnou prioritou a vašu spoluprácu štedro odmeníme.#Hackovať #biely klobúk #Arbitrum $LODE #Využívať #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (,) (@LodestarFinance) Decembra 10, 2022
Hlavná zraniteľnosť, ktorá viedla k útoku, je vo vnútri GLPOracle a v tom, ako riadi svoju cenu. V analýze audítorský tím Solidity Finance uviedol, že udalosť zdôraznila, že „využívanie veštcov odolných voči manipulácii je kriticky dôležitou súčasťou DeFi, najmä v protokoloch, ktoré prepožičiavajú užívateľské aktíva“.
Vo vyhlásení, agregátor riadenia PlutusDAO poznamenať, že jeho „produkty a platforma fungovali počas celého podujatia presne tak, ako bolo zamýšľané. Všetky prostriedky na Plutuse sú úplne bezpečné. Toto zneužitie bolo výlučne výsledkom implementácie Lodestaru.“ Tiež sa v ňom uvádzalo:
„Chceme prevziať zodpovednosť za propagáciu neauditovaného protokolu. Aj keď tento exploit nie je v žiadnom prípade vinou Plutusu, uvedomujeme si skutočnosť, že sme boli príliš horliví propagovať protokol integrujúci plvGLP. Keďže plvGLP získava významnú pozornosť, chceli sme upozorniť na všetky integrácie plvGLP v našej komunite, aby sme zdôraznili prijatie a príležitosti, ktoré integrácie predstavujú pre jednotlivých používateľov a protokoly. Za toto sa ospravedlňujeme. Vyskočili sme a v budúcnosti už nebudeme propagovať protokoly, ktoré nie sú kontrolované."
Útok Lodestar bol podobný zneužitiu Mango Markets z 11. októbra, kedy bolo ukradnutých viac ako 100 miliónov dolárov prostredníctvom útočníka, ktorý manipuluje s údajmi o cenových orakuloch, čo umožňuje hackerom brať nedostatočne zabezpečené pôžičky v kryptomenách.
Zdroj: https://cointelegraph.com/news/lodestar-finance-exploited-in-flash-loan-attack