Le protocole DeFi, Lodestar Finance, piraté lors d'une attaque de prêt flash

Le 10 décembre, une attaque de prêt flash a été lancée contre le protocole d'emprunt basé sur Arbitrum Lodestar Finance. Lodestar affirme qu'un attaquant a gonflé la valeur du jeton plvGLP sur PlutusDAO, puis a utilisé ce jeton pour emprunter la totalité de l'offre de liquidité disponible sur le réseau.
Lodestar explique
Lodestar a exposé le processus d'attaque dans une série de tweets. L’attaquant a commencé par fixer le taux de change du contrat plvGLP à 1,83 GLP par plvGLP, « une attaque qui à elle seule ne serait pas rentable », comme l’a dit l’entreprise. Ensuite, l’attaquant a donné le plvGLP en garantie à Lodestar, empruntant le montant maximum possible et retirant une partie de l’argent « jusqu’à ce que le CRM empêche une liquidation totale du plvGLP ».
Après le piratage, il y avait « de nombreux détenteurs de plvGLP » qui « ont également reçu 1,83 glp par plvGLP ». Selon la plateforme DeFi, le pirate informatique a gagné de l’argent sur les « fonds volés sur Lodestar – moins le GLP qu’ils ont détruit ». Cela représente un peu plus de 3 millions de GLP.
L'agresseur a gagné près de 5,8 millions de dollars. Cependant, selon Lodestar, environ 2,8 millions de dollars du GLP (environ 2,5 millions de dollars) étaient récupérables et devraient être utilisés pour rembourser les déposants. De plus, l’entreprise est en pourparlers avec le hacker pour lui proposer une prime aux bugs :
La principale faille qui a permis l'attaque est présente dans l'oracle que Lodestar a construit pour déterminer la valeur de plvGLP. L’événement a démontré « que le déploiement d’oracles insensibles à l’exploitation est un élément essentiel de DeFi, en particulier dans les protocoles qui prêtent des actifs aux utilisateurs », comme l’a déclaré l’équipe d’audit de Solidity Finance.
PlutusDAO publie une déclaration
PlutusDAO, un agrégateur de gouvernance, a publié une déclaration déclarant : « Tout s'est déroulé sans accroc, et les produits et la plateforme ont fait ce qu'ils étaient censés faire. Plutus garantit à tout moment la sécurité de tous les fonds des utilisateurs. Seule l’implémentation Oracle de Lodestar était responsable de cette vulnérabilité. Le document comprenait également les éléments suivants :
« Nous tenons à admettre que nous préconisons une procédure non vérifiée. Même si cet exploit n’est pas la faute de Plutus, nous réalisons maintenant que nous avons été beaucoup trop prompts à plaider en faveur d’un protocole incluant le plvGLP.
Avec la popularité croissante de plvGLP, il était important de s’assurer que notre communauté connaisse chaque intégration de plvGLP afin de souligner l’utilisation généralisée des intégrations et les avantages qu’elles ont apportés au développement de protocoles et aux utilisateurs individuels. Nous le regrettons sincèrement. Nous avons tiré des conclusions hâtives. Par conséquent, à partir de maintenant, nous ne préconiserons plus des protocoles qui n’ont pas été examinés par un auditeur indépendant.
Semblable à l’exploit Mango Marketplace du 11 octobre, où plus de 100 millions de dollars ont été récupérés en modifiant les données de l’Oracle des prix. De plus, l’attaque de Lodestar a permis aux auteurs d’effectuer des prêts Bitcoin sous-garantis.