Protokol pozajmljivanja Lodestar Finance temeljen na Arbitrumu iskorišten je u napadu na flash zajam 10. prosinca. Prema Lodestaru, napadač je manipulirao cijenom plvGLP tokena prije nego što je posudio svu likvidnost platforme koristeći napuhani token.
U Twitter niti, Lodestar objašnjen tijek napada. Napadač je prvo manipulirao tečajem plvGLP ugovora na 1.83 GLP po plvGLP-u, "iskorištavanje koje bi samo po sebi bilo neprofitabilno", rekla je tvrtka.
Zatim je napadač opskrbio plvGLP kolateral Lodestaru i posudio svu raspoloživu likvidnost, unovčivši dio sredstava "sve dok mehanizam omjera kolateralizacije nije spriječio potpunu likvidaciju plvGLP-a."
Nakon hakiranja, "nekoliko vlasnika plvGLP-a također je iskoristilo priliku i također unovčilo po 1.83 glp po plvGLP-u." Haker je uspio spaliti nešto više od 3 milijuna u GLP-u, zaradivši na "ukradenim sredstvima na Lodestaru – minus GLP-u koji su spalili", primijetila je platforma DeFi.
Napadač je zaradio oko 5.8 milijuna dolara. Lodestar navodi da je gotovo 2.8 milijuna GLP-a (oko 2.4 milijuna dolara) bilo nadoknadivo, što bi se trebalo iskoristiti za isplatu štediša. Tvrtka pokušava dogovoriti nagradu za bug sa svojim eksploatatorom:
Ako ste vi haker, obratite nam se kako bismo mogli pronaći dogovor s bijelim šeširom i nastaviti dalje.
Povrat sredstava naših korisnika glavni je prioritet i velikodušno ćemo nagraditi vašu suradnju.#Hak #bijeli šešir # Arbitrum $LODE #Iskorištavati #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (,) (@LodestarFinance) Prosinac 10, 2022
Glavna ranjivost koja je dovela do napada je unutar GLPOraclea i načina na koji upravlja svojom cijenom. U analizi, revizorski tim Solidity Finance rekao je da je događaj istaknuo "da je korištenje orakula otpornih na manipulaciju kritično važan dio DeFi-ja, posebno u protokolima koji posuđuju korisnička sredstva."
U izjavi, agregator upravljanja PlutusDAO primijetio da su njegovi „proizvodi i platforma funkcionirali točno onako kako je planirano tijekom cijelog događaja. Sva sredstva na Plutusu potpuno su sigurna. Eksploatacija je bila isključivo rezultat Lodestarove implementacije orakula.” Također je navedeno:
“Želimo preuzeti odgovornost za promicanje nerevidiranog protokola. Iako eksploatacija ni na koji način nije Plutusova krivnja, prepoznajemo činjenicu da smo bili previše željni promicanja protokola koji integrira plvGLP. Uz plvGLP koji dobiva značajnu privlačnost, htjeli smo istaknuti sve plvGLP integracije u našoj zajednici kako bismo naglasili usvajanje i mogućnosti koje su integracije pružile pojedinačnim korisnicima i protokolima. Zbog ovoga se ispričavamo. Dali smo prednost i ubuduće više nećemo promovirati protokole koji nisu revidirani.”
Lodestar napad bio je sličan iskorištavanju Mango Marketsa 11. listopada, kada je ukradeno je preko 100 milijuna dolara putem napadača koji manipulira podacima Oraclea o cijenama, dopuštajući hakerima da uzmu zajmove u kriptovaluti s nedostatkom kolaterala.
Izvor: https://cointelegraph.com/news/lodestar-finance-exploited-in-flash-loan-attack