Das auf Schiedsverfahren basierende Kreditprotokoll Lodestar Finance wurde am 10. Dezember Opfer eines Flash Loan-Angriffs. Laut Lodestar manipulierte der Angreifer den Preis des plvGLP-Tokens von PlutusDAO und borgte sich dann die gesamte Liquidität der Plattform mit dem überhöhten Token.
In einem Twitter-Thread erklärt Lodestar den Angriffsstrom. Der Angreifer manipulierte zunächst den Preis des plvGLP-Vertrags auf 1,83 GLP pro plvGLP, „ein Exploit, der für sich genommen unrentabel wäre“, so das Unternehmen.
Der Angreifer lieferte dann plvGLP-Sicherheiten an Lodestar und borgte sich die gesamte verfügbare Liquidität. Er zahlte einen Teil des Geldes, „bis der Sicherheitenquotenmechanismus die vollständige Liquidation von plvGLP verhinderte“.
Nach dem Hack haben „auch mehrere plvGLP-Besitzer die Gelegenheit ergriffen und ebenfalls 1,83 glp pro plvGLP gesammelt“. Der Hacker konnte etwas mehr als 3 Millionen GLP verbrennen und mit dem „gestohlenen Geld auf Lodestar abzüglich der verbrannten GLP“ einen Gewinn erzielen, so die DeFi-Plattform.
Der Angreifer machte einen Gewinn von rund 5,8 Millionen Dollar. Lodestar gibt an, dass fast 2,8 Millionen dieser GLP (etwa 2,4 Millionen US-Dollar) zurückgewonnen wurden. Damit sollen Sparer entschädigt werden. Das Unternehmen versucht, mit dem Angreifer eine Bug-Belohnung auszuhandeln:
Wenn Sie der Hacker sind, kontaktieren Sie uns bitte, damit wir einen White-Hat-Deal finden und vorankommen können.
Die Rückerstattung des Geldes unserer Benutzer hat oberste Priorität, und wir werden Ihre Zusammenarbeit großzügig belohnen.#hacken #weißer Hut #Entscheidung $LODE #Ausbeuten #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (,) (@LodestarFinance) 10. Dezember 2022
Die Hauptschwachstelle, die zu dem Angriff geführt hat, liegt in dem Orakel, das Lodestar implementiert hat, um den Preis von plvGLP zu bestimmen. In einer Analyse sagte das Audit-Team von Solidity Finance, der Vorfall habe gezeigt, dass „die Verwendung von manipulationssicheren Orakeln ein wichtiger Bestandteil von DeFi ist, insbesondere für Protokolle, die Benutzervermögen verleihen“.
In einer Stellungnahme frühzeitig Der Governance-Aggregator PlutusDAO erklärt, dass seine „Produkte und Plattform während des gesamten Prozesses genau wie beabsichtigt funktionierten. Das Geld auf Plutus ist absolut sicher. Die Schwachstelle war ausschließlich auf die Oracle-Implementierung von Lodestar zurückzuführen.“ Weiter hieß es:
„Wir übernehmen die Verantwortung für die Förderung eines nicht authentifizierten Protokolls. Obwohl Plutus in keiner Weise für den Exploit verantwortlich ist, erkennen wir die Tatsache an, dass wir mit der Förderung eines Protokolls, das plvGLP integriert, zu voreilig waren. Da plvGLP immer beliebter wird, wollten wir alle hervorheben plvGLP-Integrationen in unserer Community, um die Akzeptanz und Möglichkeiten hervorzuheben, die die Integrationen sowohl für einzelne Benutzer als auch für Protokolle bieten, entschuldigen wir uns dafür, dass wir voreilig waren und werden in Zukunft keine Protokolle fördern, die nicht überprüft werden.“
Der Angriff auf Lodestar ähnelte dem Angriff auf Mango Markets am 11. Oktober, als einem Angreifer mehr als 100 Millionen Dollar gestohlen wurden. gestohlen wurde.
