Arbitrum-baséiert Prêt Protokoll Lodestar Finance gouf an engem Flash Prêt Attack op Dezember exploitéiert 10. Laut Lodestar huet den Ugräifer de Präis vum plvGLP Token manipuléiert, ier hien all Plattform Liquiditéit mat dem opgeblosen Token geléint huet.
An engem Twitter thread, Lodestar erkläert den Ugrëff Flux. Den Ugräifer huet fir d'éischt den Austausch Taux vum plvGLP Kontrakt op 1.83 GLP pro plvGLP manipuléiert, "en Ausbeutung dee vu sech selwer net rentabel wier", sot d'Firma.
Dunn huet den Ugräifer plvGLP-Sécherheet un Lodestar geliwwert an all verfügbar Liquiditéit geléint, en Deel vun de Fongen ausbezuelt "bis de Collateraliséierungsverhältnismechanismus eng voll Liquidatioun vum plvGLP verhënnert huet."
Nom Hack, "verschidde plvGLP Halter hunn och vun der Geleeënheet profitéiert an hunn och 1.83 glp pro plvGLP ausbezuelt." Den Hacker konnt e bësse méi wéi 3 Milliounen u GLP verbrennen, a profitéiert op de "geklauten Fongen op Lodestar - minus de GLP, deen se verbrannt hunn", bemierkt d'DeFi Plattform.
Den Ugräifer huet ronn 5.8 Milliounen Dollar u Gewënn gemaach. De Lodestar seet datt bal 2.8 Millioune vun der GLP (ongeféier $ 2.4 Millioune) erholbar waren, déi benotzt solle fir Depositioune zréckzebezuelen. D'Firma probéiert e Bug Bounty mat hirem Exploitateur ze verhandelen:
Wann Dir den Hacker sidd, kontaktéiert eis fir datt mir e White-Hat Accord fannen a weidergoen.
D'Fongen vun eise Benotzer recuperéieren ass d'Haaptprioritéit a mir wäerte generéis Är Zesummenaarbecht belounen.#Hack #wäiss Hut #Arbitrum $LOD #Exploitéieren #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (,) (@LodestarFinance) Dezember 10, 2022
D'Haaptschwieregkeet déi zum Attack gefouert huet ass bannent GLPOracle a wéi et säi Präis féiert. An enger Analyse huet d'Solidity Finance Audit Team gesot datt d'Evenement betount "datt d'Benotzung vun Orakelen resistent géint Manipulatioun e kritesch wichtegt Stéck DeFi ass, besonnesch a Protokoller déi Benotzer Verméigen ausléinen."
An enger Ausso, Gouvernance aggregator PlutusDAO bemierken datt seng "Produkter a Plattform funktionéiert genau wéi virgesinn duerch de ganzen Event. All Fongen op Plutus si komplett sécher. Den Ausbeutung war eleng e Resultat vun der Lodestar Orakel Implementatioun. Et huet och gesot:
"Mir wëllen d'Verantwortung iwwerhuelen fir en onkontrolléierte Protokoll ze förderen. Wärend den Ausbeutung op kee Fall Plutus 'Schold ass, erkennen mir d'Tatsaach datt mir ze gäeren waren e Protokoll ze promoten deen plvGLP integréiert. Mat plvGLP déi bedeitend Traktioun kritt, wollte mir all plvGLP Integratioune fir eis Gemeinschaft ënnersträichen fir d'Adoptioun an d'Méiglechkeeten ze ënnersträichen déi d'Integratioune souwuel un eenzel Benotzer a Protokoller presentéiert hunn. Dofir entschëllege mir eis. Mir sprangen d'Waff, a virugoe wäerte mir net méi Protokoller förderen déi net iwwerpréift ginn.
D'Lodestar Attack war ähnlech wéi d'Mango Mäert auszenotzen den 11. Oktober, wann iwwer $ 100 Millioune gouf geklaut duerch en Ugräifer, deen d'Präis-Orakeldaten manipuléiert, wat den Hacker erlaabt ënner-collateraliséierte Krypto-Währungskrediter ze huelen.
Quell: https://cointelegraph.com/news/lodestar-finance-exploited-in-flash-loan-attack