Lodestar Finance использовалась в атаке на флэш-кредиты

Арбитражный протокол кредитования Lodestar Finance был использован в атаке на флэш-кредиты 10 декабря. По данным Lodestar, злоумышленник манипулировал ценой токена plvGLP компании PlutusDAO, а затем заимствовал всю ликвидность платформы, используя завышенный токен.

В своем сообщении в Twitter компания Lodestar объяснила схему атаки. Сначала злоумышленник манипулировал обменным курсом контракта plvGLP до 1,83 GLP за plvGLP, «что само по себе было бы невыгодно», заявила компания.

Затем злоумышленник предоставил Lodestar залог plvGLP и занял всю доступную ликвидность, обналичив часть средств, «пока механизм коэффициента залога не предотвратил полную ликвидацию plvGLP».

После взлома «несколько держателей plvGLP также воспользовались возможностью и обналичили средства по цене 1,83 glp за plvGLP». Хакер смог сжечь чуть более 3 миллионов в GLP, получив прибыль на «украденных средствах на Lodestar — за вычетом GLP, которые они сожгли», отметила платформа DeFi.

Злоумышленник получил прибыль в размере около 5,8 миллиона долларов. Lodestar утверждает, что почти 2,8 млн GLP (около 2,4 млн долларов) были восстановлены, которые должны быть использованы для возврата средств вкладчикам. Компания пытается договориться с эксплуататором о вознаграждении за ошибку:

Если вы хакер, свяжитесь с нами, чтобы мы могли найти соглашение и двигаться дальше.

Восстановление средств наших пользователей является главным приоритетом, и мы щедро вознаградим ваше сотрудничество.#Hack #whitehat #Arbitrum $LODE #Exploit #DEFI

— Lodestar Finance (,) (@LodestarFinance) 10 декабря 2022 г.

Основная уязвимость, которая привела к атаке, находится внутри оракула, который Lodestar использовала для определения цены plvGLP. В своем анализе аудиторская группа Solidity Finance заявила, что это событие показало, «что использование оракулов, устойчивых к манипуляциям, является критически важной частью DeFi, особенно в протоколах, которые предоставляют взаймы пользовательские активы».

В своем заявлении агрегатор управления PlutusDAO отметил, что его «продукты и платформа функционировали точно так, как было задумано во время всего мероприятия. Все средства на Plutus находятся в полной безопасности. Эксплойт был исключительно результатом оракловой реализации Lodestar». Она также заявила:

«Мы хотим взять на себя ответственность за продвижение непроверенного протокола. Хотя эксплойт ни в коей мере не является виной Plutus, мы признаем тот факт, что мы слишком охотно продвигали протокол, интегрирующий plvGLP. Поскольку plvGLP набирает значительную популярность, мы хотели осветить все интеграции plvGLP в нашем сообществе, чтобы подчеркнуть принятие и возможности, которые эти интеграции предоставили как отдельным пользователям, так и протоколам. За это мы приносим свои извинения. Мы поторопились, и в дальнейшем мы больше не будем продвигать протоколы, которые не прошли аудит».

Атака Lodestar была похожа на эксплойт Mango Markets 11 октября, когда было похищено более 100 миллионов долларов США в результате манипуляций злоумышленников с данными оракула цен, что позволило хакерам получить криптовалютные кредиты под залог.