Arbitruma bāzes aizdevumu protokols Lodestar Finance tika izmantots ātrā aizdevuma uzbrukumā 10. decembrī. Saskaņā ar Lodestar teikto, uzbrucējs manipulēja ar plvGLP marķiera cenu, pirms aizņēmās visu platformas likviditāti, izmantojot palielināto marķieri.
Twitter pavedienā Lodestar Paskaidroja uzbrukuma plūsma. Uzbrucējs vispirms manipulēja ar plvGLP līguma maiņas kursu līdz 1.83 GLP par plvGLP, "izmantojot, kas pats par sevi būtu nerentabls", sacīja uzņēmums.
Pēc tam uzbrucējs piegādāja plvGLP nodrošinājumu uzņēmumam Lodestar un aizņēmās visu pieejamo likviditāti, izmaksājot daļu līdzekļu, “līdz nodrošinājuma koeficienta mehānisms neļāva pilnībā likvidēt plvGLP”.
Pēc uzlaušanas "vairāki plvGLP īpašnieki arī izmantoja iespēju un arī ieguva 1.83 glp par plvGLP." Hakerim izdevās sadedzināt nedaudz vairāk par 3 miljoniem GLP, gūstot peļņu no “Lodestar nozagtajiem līdzekļiem – atskaitot sadedzināto GLP”, atzīmēja DeFi platforma.
Uzbrucējs guva aptuveni 5.8 miljonus dolāru peļņu. Lodestar norāda, ka gandrīz 2.8 miljoni no GLP (apmēram 2.4 miljoni ASV dolāru) bija atgūstami, un tie būtu jāizmanto, lai atmaksātu noguldītājiem. Uzņēmums cenšas vienoties par kļūdu atlīdzību ar savu izmantotāju:
Ja esat hakeris, sazinieties ar mums, lai mēs varētu panākt vienošanos par balto cepuri un turpināt darbu.
Mūsu lietotāju līdzekļu atgūšana ir galvenā prioritāte, un mēs dāsni atalgosim jūsu sadarbību.#Hack #balta cepure #Arbitrum $LODE #Exploit #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (,) (@LodestarFinance) Decembris 10, 2022
Galvenā ievainojamība, kas izraisīja uzbrukumu, ir GLPOracle iekšienē un tas, kā tas nosaka savu cenu. Analīzes ietvaros Solidity Finance audita komanda norādīja, ka notikums uzsvēra, ka "pret manipulācijām izturīgu orākulu izmantošana ir ļoti svarīga DeFi daļa, jo īpaši protokolos, kas aizdod lietotāju līdzekļus."
Paziņojumā pārvaldības apkopotājs PlutusDAO atzīmēja ka tā “produkti un platforma darbojās tieši tā, kā bija paredzēts visa pasākuma garumā. Visi Plutus līdzekļi ir pilnīgi droši. Ekspluatācija bija tikai Lodestar orākula ieviešanas rezultāts. Tajā arī bija norādīts:
“Mēs vēlamies uzņemties atbildību par neauditēta protokola veicināšanu. Lai gan ekspluatācija nekādā ziņā nav Plutusa vaina, mēs atzīstam faktu, ka bijām pārāk dedzīgi reklamēt protokolu, kas integrē plvGLP. Tā kā plvGLP ir guvis ievērojamu popularitāti, mēs vēlējāmies izcelt visas plvGLP integrācijas mūsu kopienā, lai uzsvērtu integrācijas iespējas un iespējas gan atsevišķiem lietotājiem, gan protokoliem. Par to mēs atvainojamies. Mēs pārsteidzām ieroci, un turpmāk mēs vairs nereklamēsim protokolus, kas netiek pārbaudīti.
Lodestar uzbrukums bija līdzīgs Mango Markets uzbrukumam 11. oktobrī, kad tika nozagti vairāk nekā 100 miljoni dolāru ar uzbrucēja starpniecību, kas manipulē ar cenu orākula datiem, ļaujot hakeriem izņemt kriptovalūtas aizdevumus ar nepietiekamu nodrošinājumu.
Avots: https://cointelegraph.com/news/lodestar-finance-exploited-in-flash-loan-attack