Arbitrum-based lending protocol Lodestar Finance ay pinagsamantalahan sa isang flash loan attack noong Disyembre 10. Ayon sa Lodestar, minanipula ng attacker ang presyo ng plvGLP token bago hiniram ang lahat ng platform liquidity gamit ang napalaki na token.
Sa isang Twitter thread, Lodestar ipinaliwanag ang daloy ng pag-atake. Unang minanipula ng umaatake ang halaga ng palitan ng kontrata ng plvGLP sa 1.83 GLP bawat plvGLP, "isang pagsasamantala na sa kanyang sarili ay hindi mapapakinabangan", sabi ng kumpanya.
Pagkatapos, nag-supply ang attacker ng collateral ng plvGLP sa Lodestar at hiniram ang lahat ng available na liquidity, na nag-cash out ng bahagi ng mga pondo “hanggang sa pumigil ang mekanismo ng collateralization ratio sa ganap na pagpuksa ng plvGLP.”
Kasunod ng pag-hack, "sinamantala rin ng ilang may hawak ng plvGLP ang pagkakataon at nag-cash out din sa 1.83 glp bawat plvGLP." Ang hacker ay nakapagsunog ng higit sa 3 milyon sa GLP, na kumikita sa "mga ninakaw na pondo sa Lodestar - binawasan ang GLP na kanilang sinunog.", nabanggit ng DeFi platform.
Ang umaatake ay kumita ng humigit-kumulang $5.8 milyon. Sinasabi ng Lodestar na halos 2.8 milyon ng GLP (mga $2.4 milyon) ang nabawi, na dapat gamitin upang bayaran ang mga nagdeposito. Sinusubukan ng kumpanya na makipag-ayos ng isang bug bounty sa mapagsamantala nito:
Kung ikaw ang hacker, makipag-ugnayan sa amin para makahanap kami ng white-hat agreement at magpatuloy.
Ang pagbawi sa mga pondo ng aming mga user ay ang pangunahing priyoridad at maluwag naming gagantimpalaan ang iyong pakikipagtulungan.#Hack #whitehat #Arbitrum $LODE #Pagsasamantala #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (,) (@LodestarFinance) Disyembre 10, 2022
Ang pangunahing kahinaan na humantong sa pag-atake ay nasa loob ng GLPoracle at kung paano nito isinasagawa ang presyo nito. Sa isang pagsusuri, sinabi ng audit team ng Solidity Finance na ang kaganapan ay naka-highlight "na ang paggamit ng mga orakulo na lumalaban sa pagmamanipula ay isang napakahalagang bahagi ng DeFi, lalo na sa mga protocol na nagpapahiram ng mga asset ng user."
Sa isang pahayag, ang aggregator ng pamamahala na si PlutusDAO kilala na ang "mga produkto at platform nito ay gumana nang eksakto tulad ng inilaan sa buong kaganapan. Ang lahat ng mga pondo sa Plutus ay ganap na ligtas. Ang pagsasamantala ay resulta lamang ng pagpapatupad ng orakulo ng Lodestar. Nakasaad din ito:
"Gusto naming tanggapin ang responsibilidad para sa pagsulong ng isang hindi na-audit na protocol. Bagama't hindi kasalanan ni Plutus ang pagsasamantala, kinikilala namin ang katotohanan na masyado kaming sabik na isulong ang isang protocol na nagsasama ng plvGLP. Sa pagkakaroon ng plvGLP ng makabuluhang traksyon, gusto naming i-highlight ang lahat ng mga integrasyon ng plvGLP sa aming komunidad upang bigyang-diin ang pag-aampon at mga pagkakataong ipinakita ng mga integrasyon kapwa sa mga indibidwal na user at protocol. Para dito, humihingi kami ng paumanhin. Tumalon kami sa baril, at sa pasulong hindi na kami magsusulong ng mga protocol na hindi na-audit.
Ang pag-atake ng Lodestar ay katulad ng pagsasamantala ng Mango Markets noong Oktubre 11, noong mahigit $100 milyon ang ninakaw sa pamamagitan ng isang attacker na nagmamanipula ng price oracle data, na nagpapahintulot sa mga hacker na kumuha ng under-collateralized na mga pautang sa cryptocurrency.
Pinagmulan: https://cointelegraph.com/news/lodestar-finance-exploited-in-flash-loan-attack