Arbitumipõhist laenuprotokolli Lodestar Finance kasutati 10. detsembril toimunud kiirlaenurünnakus. Lodestari sõnul manipuleeris ründaja plvGLP märgi hinda enne, kui laenas kogu platvormi likviidsust, kasutades pumbatud märgi.
Twitteri lõimes Lodestar selgitas rünnaku voog. Ründaja manipuleeris esmalt plvGLP lepingu vahetuskursiga 1.83 GLP-ni plvGLP kohta, "kasutamine, mis iseenesest oleks kahjumlik", ütles ettevõte.
Seejärel andis ründaja Lodestarile plvGLP tagatise ja laenas kogu saadaoleva likviidsuse, rahastades osa vahenditest "kuni tagatise määra mehhanism takistas plvGLP täielikku likvideerimist."
Pärast häkkimist "kasutasid ka mitmed plvGLP omanikud seda võimalust ja teenisid samuti välja 1.83 glp plvGLP kohta." Häkker suutis GLP-s põletada veidi üle 3 miljoni, teenides kasumit "Lodestari varastatud vahenditest – miinus nende põletatud GLP", märkis DeFi platvorm.
Ründaja teenis umbes 5.8 miljonit dollarit kasumit. Lodestar väidab, et ligi 2.8 miljonit GLP-st (umbes 2.4 miljonit dollarit) oli tagasinõutav, mida tuleks kasutada hoiustajate tagasimaksmiseks. Ettevõte üritab oma ärakasutajaga veahüvitise üle läbi rääkida:
Kui olete häkker, võtke meiega ühendust, et leiame valge mütsi kokkuleppe ja saaksime edasi liikuda.
Meie kasutajate raha tagasisaamine on peamine prioriteet ja me premeerime teie koostööd heldelt.#Häkkima #valgekübar # Arbitrum $LODE #Exploit #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (,) (@LodestarFinance) Detsember 10, 2022
Peamine haavatavus, mis rünnakuni viis, on GLPOracle'i sees ja kuidas see hindab. Analüüsis ütles Solidity Finance'i auditimeeskond, et sündmus rõhutas, et "manipulatsioonile vastupidavate oraaklite kasutamine on DeFi kriitilise tähtsusega osa, eriti protokollides, mis laenutavad kasutajate varasid."
Avalduses on juhtimiste koondaja PlutusDAO märkida et selle „tooted ja platvorm toimisid kogu ürituse vältel täpselt nii, nagu ette nähtud. Kõik Plutuse fondid on täiesti ohutud. Ärakasutamine oli ainult Lodestari oraakli rakendamise tulemus. Samuti oli seal kirjas:
"Tahame võtta vastutuse auditeerimata protokolli reklaamimise eest. Kuigi ärakasutamine pole mingil juhul Plutuse süü, tunnistame tõsiasja, et olime liiga innukad plvGLP-d integreeriva protokolli reklaamimiseks. Kuna plvGLP on saavutanud märkimisväärset haaret, oleme soovinud oma kogukonnas esile tõsta kõiki plvGLP integratsioone, et rõhutada kasutuselevõttu ja võimalusi, mida integratsioonid on pakkunud nii üksikutele kasutajatele kui ka protokollidele. Selle eest palume vabandust. Hüppasime püssi ja edaspidi ei reklaami me enam protokolle, mida ei auditeerita.
Lodestari rünnak sarnanes Mango Marketsi 11. oktoobril toimunud rünnakuga varastati üle 100 miljoni dollari läbi ründaja, kes manipuleerib hinnaoraakli andmetega, võimaldades häkkeritel võtta alatagatisega krüptovaluuta laene.
Allikas: https://cointelegraph.com/news/lodestar-finance-exploited-in-flash-loan-attack