10 月 XNUMX 日,基於 Arbitrum 的借貸協議 Lodestar Finance 在閃電貸攻擊中被利用。據 Lodestar 稱,攻擊者在使用膨脹的代幣借入所有平台流動性之前操縱了 plvGLP 代幣的價格。
在 Twitter 線程中,Lodestar 解釋 攻擊流。 該公司表示,攻擊者首先將 plvGLP 合約的匯率操縱為每 plvGLP 1.83 GLP,“這種利用本身是無利可圖的”。
然後,攻擊者向 Lodestar 提供 plvGLP 抵押品並藉用所有可用的流動性,兌現部分資金“直到抵押率機制阻止 plvGLP 的完全清算。”
在黑客攻擊之後,“幾個 plvGLP 持有者也利用了這個機會,並以每個 plvGLP 1.83 glp 的價格套現。” DeFi 平台指出,黑客能夠銷毀超過 3 萬的 GLP,從“Lodestar 上被盜的資金減去他們銷毀的 GLP”中獲利。
攻擊者獲利約 5.8 萬美元。 Lodestar 表示,近 2.8 萬的 GLP(約 2.4 萬美元)是可收回的,應該用於償還存款人。 該公司正試圖與其開發者協商漏洞賞金:
如果您是黑客,請與我們聯繫,以便我們找到白帽協議並繼續前進。
收回我們用戶的資金是首要任務,我們將慷慨地獎勵您的合作。#哈克 #白帽 #仲裁 $LODE #開發 #DEFI https://t.co/SWlCr3KMib
- 北極星金融 (,) (@LodestarFinance) 2022 年 12 月 10 日
導致攻擊的主要漏洞存在於 GLPOracle 內部及其定價方式。 在一項分析中,Solidity Finance 審計團隊表示,該事件強調“利用預言機來抵抗操縱是 DeFi 的一個至關重要的部分,尤其是在藉出用戶資產的協議中。”
在一份聲明中,治理聚合器 PlutusDAO 注意 它的“產品和平台在整個活動中完全按照預期運行。 Plutus 上的所有資金都是完全安全的。 該漏洞完全是 Lodestar 的 oracle 實施的結果。” 它還指出:
“我們希望負責推廣未經審計的協議。 雖然該漏洞絕不是 Plutus 的錯,但我們認識到我們太急於推廣集成 plvGLP 的協議這一事實。 隨著 plvGLP 獲得巨大的關注,我們希望向我們的社區強調所有 plvGLP 集成,以強調集成為個人用戶和協議帶來的採用和機會。 為此,我們深表歉意。 我們搶先一步,今後我們將不再推廣未經審計的協議。”
Lodestar 攻擊類似於 11 月 XNUMX 日的 Mango Markets 攻擊,當時 超過100億美元被盜 通過攻擊者操縱價格預言機數據,允許黑客獲得抵押不足的加密貨幣貸款。
資料來源:https://cointelegraph.com/news/lodestar-finance-exploited-in-flash-loan-attack