Protokol pozajmljivanja zasnovan na arbitrumu Lodestar Finance je iskorišćen u napadu flash kredita 10. decembra. Prema Lodestaru, napadač je manipulisao cijenom plvGLP tokena prije nego što je posudio svu likvidnost platforme koristeći naduvani token.
U niti na Twitteru, Lodestar objašnjeno tok napada. Napadač je prvo izmanipulisao kursom plvGLP ugovora na 1.83 GLP po plvGLP, "eksploat koji bi sam po sebi bio neisplativ", saopštila je kompanija.
Zatim je napadač obezbedio plvGLP kolateral Lodestaru i pozajmio svu raspoloživu likvidnost, unovčavajući deo sredstava „sve dok mehanizam kolateralizacije nije sprečio potpunu likvidaciju plvGLP-a“.
Nakon hakovanja, "nekoliko vlasnika plvGLP-a je također iskoristilo priliku i također unovčilo po 1.83 glp-a po plvGLP-u." Haker je uspeo da spali nešto više od 3 miliona u GLP-u, ostvarujući profit na „ukradenim sredstvima na Lodestar-u – minus GLP koji su spalili.“, navodi DeFi platforma.
Napadač je zaradio oko 5.8 miliona dolara. Lodestar navodi da je skoro 2.8 miliona GLP-a (oko 2.4 miliona dolara) bilo nadoknadivo, koje bi trebalo iskoristiti za otplatu štedišama. Kompanija pokušava dogovoriti nagradu za greške sa svojim eksploatatorom:
Ako ste vi haker, obratite nam se kako bismo mogli pronaći dogovor i krenuti dalje.
Povraćaj sredstava naših korisnika je glavni prioritet i mi ćemo velikodušno nagraditi vašu saradnju.#Hack #whitehat #Arbitrum $LODE #Exploit #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (,) (@LodestarFinance) Decembar 10, 2022
Glavna ranjivost koja je dovela do napada je unutar GLPOraclea i način na koji vodi svoju cijenu. U analizi, tim za reviziju Solidity Finance-a rekao je da je događaj istaknuo “da je korištenje orakula otpornih na manipulaciju kritično važan dio DeFi-ja, posebno u protokolima koji posuđuju korisnička sredstva.”
U izjavi, agregator upravljanja PlutusDAO primećeno da su njegovi „proizvodi i platforma funkcionisali tačno onako kako je zamišljeno kroz čitav događaj. Sva sredstva na Plutusu su potpuno sigurna. Eksploatacija je bila isključivo rezultat implementacije Lodestarovog orakula.” Takođe je navedeno:
“Želimo preuzeti odgovornost za promoviranje nerevidiranog protokola. Iako eksploatacija ni na koji način nije Plutusova greška, prepoznajemo činjenicu da smo bili previše željni da promoviramo protokol koji integrira plvGLP. Kako plvGLP dobija značajnu snagu, željeli smo istaknuti sve plvGLP integracije našoj zajednici kako bismo naglasili usvajanje i mogućnosti koje su integracije predstavile i pojedinačnim korisnicima i protokolima. Zbog ovoga se izvinjavamo. Preskočili smo oružje i ubuduće više nećemo promovirati protokole koji nisu podvrgnuti reviziji.”
Napad Lodestar bio je sličan eksploataciji Mango Markets 11. oktobra, kada je ukradeno preko 100 miliona dolara putem napadača koji manipulira podacima proročanstva o cijenama, omogućavajući hakerima da uzimaju nedovoljno kolateralizirane zajmove u kriptovalutama.
Izvor: https://cointelegraph.com/news/lodestar-finance-exploited-in-flash-loan-attack