Protokol posojanja Lodestar Finance, ki temelji na Arbitrumu, je bil 10. decembra izkoriščen v napadu na hitro posojilo. Lodestar pravi, da je napadalec manipuliral s ceno žetona plvGLP, preden si je izposodil vso likvidnost platforme z uporabo napihnjenega žetona.
V niti na Twitterju, Lodestar razložiti tok napada. Napadalec je najprej manipuliral z menjalnim tečajem pogodbe plvGLP na 1.83 GLP na plvGLP, kar je "izkoriščanje, ki bi bilo samo po sebi nedonosno", je dejalo podjetje.
Nato je napadalec Lodestarju priskrbel zavarovanje plvGLP in si izposodil vso razpoložljivo likvidnost ter unovčil del sredstev, "dokler mehanizem razmerja zavarovanja ni preprečil popolne likvidacije plvGLP."
Po vdoru je "tudi več imetnikov plvGLP izkoristilo priložnost in prav tako izplačalo 1.83 glp na plvGLP." Hekerju je uspelo zažgati nekaj več kot 3 milijone v GLP, s čimer je zaslužil z "ukradenimi sredstvi na Lodestarju – minus GLP, ki so ga zažgali", je zapisala platforma DeFi.
Napadalec je zaslužil okoli 5.8 milijona dolarjev. Lodestar navaja, da je bilo skoraj 2.8 milijona GLP (približno 2.4 milijona USD) izterljivih, kar bi bilo treba uporabiti za poplačilo vlagateljev. Podjetje se poskuša s svojim izkoriščevalcem dogovoriti za nagrado za hrošče:
Če ste heker, se obrnite na nas, da bomo lahko našli dogovor o belih klobukih in nadaljevali.
Povrnitev sredstev naših uporabnikov je glavna prioriteta in vaše sodelovanje bomo velikodušno nagradili.#Hack #beliklobuk #Arbitrum $LODE #Izkoriščanje #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (,) (@LodestarFinance) December 10, 2022
Glavna ranljivost, ki je privedla do napada, je znotraj GLPOracle in kako upravlja svojo ceno. V analizi je revizijska ekipa Solidity Finance dejala, da je dogodek poudaril, "da je uporaba orakljev, odpornih na manipulacije, kritično pomemben del DeFi, zlasti v protokolih, ki posojajo uporabniška sredstva."
V izjavi, agregator upravljanja PlutusDAO opozoriti da so njegovi »izdelki in platforma skozi celoten dogodek delovali točno tako, kot je bilo predvideno. Vsa sredstva na Plutusu so popolnoma varna. Izkoriščanje je bilo izključno posledica Lodestarjeve implementacije Oracle." Prav tako je navedeno:
»Želimo prevzeti odgovornost za promocijo nerevidiranega protokola. Čeprav za izkoriščanje nikakor ni kriv Plutus, se zavedamo dejstva, da smo bili preveč vneti, da bi promovirali protokol, ki vključuje plvGLP. Ker plvGLP pridobiva velik oprijem, smo želeli poudariti vse integracije plvGLP v naši skupnosti, da bi poudarili sprejetje in priložnosti, ki so jih integracije ponudile posameznim uporabnikom in protokolom. Za to se opravičujemo. Preskočili smo puško in v prihodnje ne bomo več promovirali protokolov, ki niso revidirani.«
Napad Lodestar je bil podoben napadu Mango Markets 11. oktobra, ko ukradenih je bilo več kot 100 milijonov dolarjev prek napadalca, ki manipulira s podatki Oracle o cenah, kar hekerjem omogoča, da najamejo posojila v kriptovalutah s premajhnim zavarovanjem.
Vir: https://cointelegraph.com/news/lodestar-finance-exploited-in-flash-loan-attack