Arbitrum tabanlı borç verme protokolü Lodestar Finance, 10 Aralık’ta bir ani kredi saldırısında istismar edildi. Lodestar’a göre, saldırgan şişirilmiş jetonu kullanarak tüm platform likiditesini ödünç almadan önce plvGLP jetonunun fiyatını manipüle etti.
Bir Twitter dizisinde, Lodestar açıkladı saldırı akışı Şirket, saldırganın önce plvGLP sözleşmesinin döviz kurunu plvGLP başına 1,83 GLP’ye manipüle ettiğini, bunun “tek başına kârsız olacak bir istismar” olduğunu söyledi.
Daha sonra saldırgan, Lodestar’a plvGLP teminatı sağladı ve mevcut tüm likiditeyi ödünç alarak fonların bir kısmını “teminatlandırma oranı mekanizması plvGLP’nin tamamen tasfiyesini önleyene kadar” nakde çevirdi.
Hack’in ardından, “birkaç plvGLP sahibi de fırsattan yararlandı ve ayrıca plvGLP başına 1,83 glp’de para kazandı.” DeFi platformu, bilgisayar korsanının GLP’de 3 milyondan biraz fazla yaktığını ve “Lodestar’da çalınan fonlardan – yaktıkları GLP hariç” kar elde edebildiğini belirtti.
Saldırgan yaklaşık 5,8 milyon dolar kar etti. Lodestar, GLP’nin yaklaşık 2,8 milyonunun (yaklaşık 2,4 milyon $) geri alınabileceğini ve bunun mevduat sahiplerine geri ödeme yapmak için kullanılması gerektiğini belirtiyor. Şirket, istismarcısıyla bir hata ödülü için pazarlık yapmaya çalışıyor:
Bilgisayar korsanıysanız, bir beyaz şapka anlaşması bulup yolumuza devam edebilmemiz için bize ulaşın.
Kullanıcılarımızın fonlarını kurtarmak ana önceliktir ve işbirliğinizi cömertçe ödüllendireceğiz.#Hile #Beyaz şapka #tahkim $LODE #Faydalanmak #DEFI https://t.co/SWlCr3KMib
— Lodestar Finans (,) (@LodestarFinance) 10 Aralık 2022
Saldırıya yol açan ana güvenlik açığı, GLPOracle’ın içinde ve fiyatını nasıl yürüttüğüdür. Bir analizde, Solidity Finance denetim ekibi, olayın “manipülasyona dirençli oracle’ları kullanmanın, özellikle kullanıcı varlıklarını ödünç veren protokollerde DeFi’nin kritik derecede önemli bir parçası olduğunu” vurguladığını söyledi.
Yönetişim toplayıcı PlutusDAO yaptığı açıklamada, “ürünlerinin ve platformunun tüm etkinlik boyunca tam olarak amaçlandığı gibi çalıştığını. Plutus’taki tüm fonların tamamen güvende olduğunu. İstismarın yalnızca Lodestar’ın kehanet uygulamasının bir sonucu olduğunu” belirtti. Ayrıca şunları belirtti:
“Denetlenmemiş bir protokolü teşvik etme sorumluluğunu üstlenmek istiyoruz. İstismar hiçbir şekilde Plutus’un hatası olmasa da, plvGLP’yi entegre eden bir protokolü teşvik etmeye çok hevesli olduğumuzun farkındayız. entegrasyonların hem bireysel kullanıcılara hem de protokollere sunduğu benimseme ve fırsatları vurgulamak için tüm plvGLP entegrasyonlarını topluluğumuza vurgulayın. Bunun için özür dileriz. Silahı atladık ve bundan sonra artık denetlenmeyen protokolleri teşvik etmeyeceğiz. “
Lodestar saldırısı, fiyat kehaneti verilerini manipüle eden bir saldırgan tarafından 100 milyon dolardan fazla çalınan ve bilgisayar korsanlarının yetersiz teminatlandırılmış kripto para birimi kredileri almasına olanak tanıyan Mango Markets’in 11 Ekim’deki istismarına benziyordu.