Протокол кредитування Lodestar Finance на основі арбітруму був використаний під час атаки на флеш-позику 10 грудня. За словами Lodestar, зловмисник маніпулював ціною токена plvGLP перед тим, як запозичити всю ліквідність платформи, використовуючи завищений токен.
У ланцюжку Twitter, Lodestar пояснені потік атаки. Зловмисник спочатку маніпулював обмінним курсом контракту plvGLP до 1.83 GLP за plvGLP, «експлойт, який сам по собі був би збитковим», заявила компанія.
Потім зловмисник надав Lodestar заставу plvGLP і позичив всю доступну ліквідність, переводячи частину коштів, «доки механізм співвідношення застави не запобіг повній ліквідації plvGLP».
Після злому «кілька власників plvGLP також скористалися цією можливістю та також перерахували 1.83 glp за plvGLP». Хакер зміг спалити трохи більше 3 мільйонів у GLP, отримавши прибуток на «викрадених коштах на Lodestar – за вирахуванням GLP, який вони спалили», — зазначає платформа DeFi.
Прибуток зловмисника склав близько $5.8 млн. Lodestar стверджує, що майже 2.8 мільйона GLP (близько 2.4 мільйона доларів США) можна було відновити, які повинні бути використані для виплати вкладникам. Компанія намагається домовитися про винагороду за помилку зі своїм експлуататором:
Якщо ви хакер, зв’яжіться з нами, щоб ми могли знайти угоду про білий капелюх і рухатися далі.
Повернення коштів наших користувачів є головним пріоритетом, і ми щедро винагородимо вашу співпрацю.#Хак #білийкапелюх #Арбітр $LODE #Exploit #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (,) (@LodestarFinance) 10 Грудня, 2022
Основна вразливість, яка призвела до атаки, полягає всередині GLPOracle і в тому, як він веде свою ціну. В аналізі аудиторська група Solidity Finance заявила, що подія підкреслила, «що використання оракул, стійких до маніпуляцій, є критично важливою частиною DeFi, особливо в протоколах, які надають активи користувача».
У заяві агрегатора управління PlutusDAO зазначив, що його «продукти та платформа функціонували точно так, як планувалося протягом усієї події. Всі кошти на Плутусі абсолютно безпечні. Експлойт був виключно результатом реалізації оракула Lodestar». У ньому також зазначено:
«Ми хочемо взяти на себе відповідальність за просування неперевіреного протоколу. Хоча цей експлойт ні в якому разі не є провиною Plutus, ми визнаємо той факт, що надто прагнули просувати протокол, який інтегрує plvGLP. У зв’язку з тим, що plvGLP набуває значного поширення, ми хотіли висвітлити всі інтеграції plvGLP для нашої спільноти, щоб підкреслити впровадження та можливості, які ці інтеграції надають як окремим користувачам, так і протоколам. За це просимо вибачення. Ми кинулися назустріч і надалі більше не просуватимемо протоколи, які не перевіряються».
Атака Lodestar була схожа на експлойт Mango Markets 11 жовтня, коли було вкрадено понад 100 мільйонів доларів через зловмисника, який маніпулює даними оракула про ціни, дозволяючи хакерам брати позики в криптовалюті під заставу.
Джерело: https://cointelegraph.com/news/lodestar-finance-exploited-in-flash-loan-attack