Lodestar Finance использовалась в атаке для мгновенного кредитования

Кредитный протокол Lodestar Finance, основанный на арбитраже, был использован в атаке для мгновенного кредита 10 декабря. Согласно Lodestar, злоумышленник манипулировал ценой токена plvGLP, прежде чем заимствовать всю ликвидность платформы, используя завышенный токен.

В ветке Twitter Lodestar объяснил ход атаки. Злоумышленник сначала манипулировал обменным курсом контракта plvGLP до 1,83 GLP за plvGLP, «эксплуатация, которая сама по себе была бы убыточной», заявила компания.

Затем злоумышленник предоставил Lodestar обеспечение plvGLP и занял всю доступную ликвидность, обналичив часть средств «до тех пор, пока механизм коэффициента обеспечения не предотвратил полную ликвидацию plvGLP».

После взлома «несколько держателей plvGLP также воспользовались этой возможностью и также обналичили по 1,83 glp за plvGLP». Хакер смог сжечь чуть более 3 миллионов GLP, получив прибыль от «украденных средств на Lodestar — за вычетом сожженных GLP», — отметили на платформе DeFi.

Злоумышленник заработал около 5,8 миллиона долларов прибыли. Lodestar заявляет, что почти 2,8 миллиона GLP (около 2,4 миллиона долларов) подлежат возмещению, которые следует использовать для выплаты вкладчикам. Компания пытается договориться с эксплуататорами о награде за ошибку:

https://platform.twitter.com/widgets.js

Основная уязвимость, которая привела к атаке, находится внутри GLPOracle и в том, как она проводит свою цену. В ходе анализа аудиторская группа Solidity Finance заявила, что это мероприятие подчеркнуло, что «использование оракулов, устойчивых к манипуляциям, является критически важной частью DeFi, особенно в протоколах, которые предоставляют пользовательские активы взаймы».

В заявлении агрегатора управления PlutusDAO отмечается, что его «продукты и платформа функционировали точно так, как предполагалось, на протяжении всего мероприятия. Все средства на Plutus полностью безопасны. Эксплойт был исключительно результатом реализации оракула Lodestar». В нем также говорилось:

«Мы хотим взять на себя ответственность за продвижение неаудированного протокола. Хотя эксплойт никоим образом не является ошибкой Plutus, мы признаем тот факт, что мы слишком стремились продвигать протокол, интегрирующий plvGLP. Поскольку plvGLP набирает значительную популярность, мы хотеливыделить все интеграции plvGLP нашему сообществу, чтобы подчеркнуть принятие и возможности интеграции как для отдельных пользователей, так и для протоколов. За это мы приносим свои извинения. Мы поспешили, и в будущем мы больше не будем продвигать протоколы, которые не проверены.”

Атака Lodestar была похожа на эксплойт Mango Markets 11 октября, когда более 100 миллионов долларов было украдено злоумышленником, манипулирующим данными ценового оракула, что позволило хакерам брать кредиты в криптовалюте с недостаточным обеспечением.