Кредитный протокол Lodestar Finance, основанный на блокчейне Arbitrum, был использован в атаке для мгновенного кредита 10 декабря. Согласно данным, предоставленным Lodestar, злоумышленник манипулировал ценой токена plvGLP, прежде чем заимствовать всю ликвидность платформы, используя завышенную стоимость токена.
В официальной ветке твиттера Lodestar объяснил ход атаки. Злоумышленник сначала манипулировал обменным курсом контракта plvGLP до 1,83 GLP за plvGLP, «эксплойт, который сам по себе был бы убыточным», заявила компания.
Затем злоумышленник предоставил Lodestar обеспечение plvGLP и занял всю доступную ликвидность, обналичивая часть средств «до тех пор, пока механизм коэффициента обеспечения не предотвратил полную ликвидацию plvGLP».
После взлома «несколько держателей plvGLP также воспользовались этой возможностью и также обналичили по 1,83 glp за plvGLP». Хакер смог сжечь чуть более 3 миллионов GLP, получив прибыль от «украденных средств на Lodestar — за вычетом сожженных GLP», — отметили на платформе DeFi.
Злоумышленник заработал около $5,8 миллиона прибыли. Lodestar заявляет, что почти 2,8 миллиона GLP (около $2,4 миллиона) подлежат возмещению, которые следует использовать для выплаты вкладчикам. Компания пытается договориться со злоумышленником о награде за ошибку:
Основная уязвимость, которая привела к атаке, находится внутри блокчейн-оракула GLPOracle и в том, как она проводит свою цену. В ходе анализа аудиторская группа Solidity Finance заявила, что это мероприятие подчеркнуло, что «использование оракулов, устойчивых к манипуляциям, является критически важной частью DeFi, особенно в протоколах, которые предоставляют пользовательские активы взаймы».
В заявлении агрегатора управления PlutusDAO отмечается, что его «продукты и платформа функционировали точно так, как предполагалось, на протяжении всего мероприятия. Все средства на Plutus полностью безопасны. Эксплойт был исключительно результатом реализации оракула Lodestar». В нем также говорилось:
«Мы хотим взять на себя ответственность за продвижение неаудированного протокола. Хотя эксплойт никоим образом не является ошибкой Plutus, мы признаем тот факт, что мы слишком стремились продвигать протокол, интегрирующий plvGLP. Поскольку plvGLP набирает значительную популярность, мы хотели выделить все интеграции plvGLP нашему сообществу, чтобы подчеркнуть принятие и возможности интеграции как для отдельных пользователей, так и для протоколов. За это мы приносим свои извинения. Мы поспешили, и в будущем мы больше не будем продвигать протоколы, которые не проверены«.
Атака Lodestar была похожа на эксплойт Mango Markets 11 октября, когда более $100 миллионов было украдено злоумышленником, манипулирующим данными ценового оракула, что позволило хакерам брать кредиты в криптовалюте с недостаточным обеспечением.
Читайте также: