Lodestar Finance a fost exploatat într-un atac de împrumut rapid

Protocolul de creditare bazat pe Arbitrum Lodestar Finance a fost exploatat într-un atac de împrumut rapid pe 10 decembrie. Potrivit Lodestar, atacatorul a manipulat prețul jetonului plvGLP înainte de a împrumuta toată lichiditatea platformei folosind tokenul umflat.

Într-un thread de Twitter, Lodestar a explicat fluxul de atac. Atacatorul a manipulat mai întâi cursul de schimb al contractului plvGLP la 1.83 GLP per plvGLP, „o exploatare care în sine ar fi neprofitabilă”, a spus compania.

Apoi, atacatorul a furnizat garanții plvGLP către Lodestar și a împrumutat toată lichiditatea disponibilă, încasând o parte din fonduri „până când mecanismul ratei de garanție a împiedicat lichidarea completă a plvGLP”.

În urma hack-ului, „mai mulți deținători de plvGLP au profitat de această oportunitate și au încasat, de asemenea, la 1.83 glp per plvGLP”. Hackerul a reușit să ardă puțin peste 3 milioane în GLP, făcând profit din „fondurile furate pe Lodestar – minus GLP-ul pe care l-au ars.”, a menționat platforma DeFi.

Atacatorul a realizat un profit de aproximativ 5.8 milioane de dolari. Lodestar afirmă că aproape 2.8 milioane din GLP (aproximativ 2.4 milioane USD) erau recuperabile, care ar trebui să fie folosite pentru a rambursa deponenții. Compania încearcă să negocieze o recompensă pentru erori cu exploatatorul său:

Dacă ești hackerul, contactează-ne ca să putem găsi un acord cu pălărie albă și să mergem mai departe.

Recuperarea fondurilor utilizatorilor noștri este principala prioritate și vă vom recompensa cu generozitate colaborarea.#Hack #pălărie albă #Arbitrum $LODE #Exploata #DEFI https://t.co/SWlCr3KMib

— Lodestar Finance (,) (@LodestarFinance) December 10, 2022

Principala vulnerabilitate care a dus la atac este în interiorul GLPOracle și modul în care își conduce prețul. Într-o analiză, echipa de audit Solidity Finance a spus că evenimentul a evidențiat „că utilizarea oracolelor rezistente la manipulare este o piesă de importanță critică a DeFi, în special în protocoalele care împrumută activele utilizatorilor”.

Într-o declarație, agregatorul de guvernanță PlutusDAO notat că „produsele și platforma sa au funcționat exact așa cum s-a intenționat pe parcursul întregului eveniment. Toate fondurile de pe Plutus sunt complet sigure. Exploatarea a fost doar rezultatul implementării oracolului Lodestar.” De asemenea, a mai spus:

„Vrem să ne asumăm responsabilitatea pentru promovarea unui protocol neauditat. Deși exploitul nu este în niciun fel vina lui Plutus, recunoaștem faptul că am fost prea dornici să promovăm un protocol care să integreze plvGLP. Cu plvGLP câștigând o tracțiune semnificativă, am dorit să evidențiem toate integrările plvGLP pentru comunitatea noastră pentru a sublinia adoptarea și oportunitățile pe care integrările le-au prezentat atât utilizatorilor individuali, cât și protocoalelor. Pentru aceasta, ne cerem scuze. Am sărit arma și, în continuare, nu vom mai promova protocoale care nu sunt auditate.”

Atacul Lodestar a fost similar cu exploatarea Mango Markets din 11 octombrie, când au fost furate peste 100 de milioane de dolari printr-un atacator care manipulează datele oracolului de preț, permițând hackerilor să obțină împrumuturi în criptomonede sub-colateralizate.