Protokolli i huadhënies i bazuar në arbitrazh, Lodestar Finance, u shfrytëzua në një sulm të shpejtë kredie më 10 dhjetor. Sipas Lodestar, sulmuesi manipuloi çmimin e tokenit plvGLP përpara se të huazonte të gjithë likuiditetin e platformës duke përdorur tokenin e fryrë.
Në një temë në Twitter, Lodestar shpjegoi rrjedha e sulmit. Sulmuesi fillimisht manipuloi kursin e këmbimit të kontratës plvGLP në 1.83 GLP për plvGLP, "një shfrytëzim që në vetvete do të ishte i padobishëm", tha kompania.
Më pas, sulmuesi furnizoi kolateralin plvGLP për Lodestar dhe mori hua të gjithë likuiditetin në dispozicion, duke arkëtuar një pjesë të fondeve "derisa mekanizmi i raportit të kolateralizimit parandaloi një likuidim të plotë të plvGLP".
Pas hakimit, "disa mbajtës të plvGLP gjithashtu përfituan nga kjo mundësi dhe gjithashtu fituan para në 1.83 glp për plvGLP". Hakeri ishte në gjendje të digjte pak më shumë se 3 milionë në GLP, duke bërë fitim nga "fondet e vjedhura në Lodestar - minus GLP që dogjën.", vuri në dukje platforma DeFi.
Sulmuesi fitoi rreth 5.8 milionë dollarë. Lodestar deklaron se gati 2.8 milionë nga GLP (rreth 2.4 milionë dollarë) ishin të rikuperueshme, të cilat duhet të përdoren për të shlyer depozituesit. Kompania po përpiqet të negociojë një shpërblim të gabimeve me shfrytëzuesin e saj:
Nëse jeni hakeri, kontaktoni me ne që të gjejmë një marrëveshje me kapelën e bardhë dhe të vazhdojmë.
Rikuperimi i fondeve të përdoruesve tanë është prioriteti kryesor dhe ne do ta shpërblejmë bujarisht bashkëpunimin tuaj.#Hakim #kapelë e bardhë #Arbitrum $LODE #Shfrytëzoje #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (,) (@LodestarFinance) Dhjetor 10, 2022
Dobësia kryesore që çoi në sulm është brenda GLPOracle dhe mënyra se si e bën çmimin e saj. Në një analizë, ekipi i auditimit të Solidity Finance tha se ngjarja theksoi "se përdorimi i orakujve rezistente ndaj manipulimit është një pjesë kritike e rëndësishme e DeFi, veçanërisht në protokollet që japin hua asetet e përdoruesit".
Në një deklaratë, grumbulluesi i qeverisjes PlutusDAO vuri në dukje se “produktet dhe platforma e tij funksionuan saktësisht siç ishte menduar gjatë gjithë ngjarjes. Të gjitha fondet në Plutus janë plotësisht të sigurta. Shfrytëzimi ishte vetëm rezultat i zbatimit të orakullit të Lodestar.” Gjithashtu u shpreh:
“Ne duam të marrim përgjegjësinë për promovimin e një protokolli të pa audituar. Ndërsa shfrytëzimi nuk është në asnjë mënyrë faji i Plutus, ne e kuptojmë faktin se ishim shumë të etur për të promovuar një protokoll që integron plvGLP. Me plvGLP që fiton tërheqje të konsiderueshme, ne kemi dashur të theksojmë të gjitha integrimet plvGLP në komunitetin tonë për të theksuar adoptimin dhe mundësitë që integrimet u kanë paraqitur përdoruesve individualë dhe protokolleve. Për këtë kërkojmë falje. Ne hodhëm armën dhe duke shkuar përpara nuk do të promovojmë më protokolle që nuk janë audituar.”
Sulmi Lodestar ishte i ngjashëm me shfrytëzimin e Mango Markets më 11 tetor, kur u vodhën mbi 100 milionë dollarë përmes një sulmuesi që manipulon të dhënat e orakullit të çmimeve, duke i lejuar hakerat të marrin hua në kriptomonedha të pakolateralizuara.
Burimi: https://cointelegraph.com/news/lodestar-finance-exploited-in-flash-loan-attack