Protokol DeFi, Lodestar Finance, diretas dalam serangan pinjaman kilat

Pada tanggal 10 Desember, serangan pinjaman kilat diluncurkan terhadap protokol peminjaman berbasis Arbitrum, Lodestar Finance. Lodestar mengklaim bahwa seorang penyerang menggelembungkan nilai token plvGLP di PlutusDAO dan kemudian menggunakan token tersebut untuk meminjam seluruh pasokan likuiditas yang tersedia di jaringan.
Lodestar menjelaskan
Lodestar memaparkan proses serangan tersebut dalam serangkaian tweet. Penyerang memulai dengan menetapkan nilai tukar kontrak plvGLP menjadi 1,83 GLP per plvGLP, "serangan yang sendiri tidak akan menguntungkan," seperti yang dikatakan firma tersebut. Kemudian, penyerang menjaminkan plvGLP sebagai agunan dengan Lodestar, meminjam jumlah maksimum yang memungkinkan, dan menarik sebagian uang "hingga CRM mencegah likuidasi total plvGLP."
Setelah peretasan, ada "banyak pemegang plvGLP" yang "juga mendapatkan 1,83 glp per plvGLP". Menurut platform DeFi, peretas mendapatkan uang dari "dana yang dicuri di Lodestar – dikurangi GLP yang mereka hancurkan." Jumlahnya sedikit lebih dari 3 juta GLP.
Pelaku berhasil meraup hampir $5,8 juta. Namun, menurut Lodestar, sekitar $2,8 juta dari GLP (sekitar $2,5 juta) dapat dipulihkan dan seharusnya digunakan untuk membayar kembali para deposan. Selain itu, perusahaan sedang bernegosiasi dengan peretas untuk menawarkan hadiah bug bounty:
Cacat utama yang memungkinkan serangan ini terdapat pada oracle yang dibangun Lodestar untuk menentukan nilai plvGLP. Kejadian ini menunjukkan "bahwa penerapan oracle yang kebal terhadap eksploitasi merupakan bagian yang sangat penting dari DeFi, terutama dalam protokol yang meminjamkan aset pengguna," sebagaimana dinyatakan oleh tim audit Solidity Finance.
PlutusDAO merilis pernyataan
PlutusDAO, agregator tata kelola, telah merilis pernyataan yang menyatakan, "Semuanya berjalan lancar, dan produk serta platformnya berfungsi sebagaimana mestinya. Plutus menjamin keamanan semua dana pengguna setiap saat. Hanya implementasi oracle Lodestar yang bertanggung jawab atas kerentanan tersebut." Dokumen tersebut juga mencakup hal-hal berikut:
"Kami ingin mengakui fakta bahwa kami menganjurkan prosedur yang belum terverifikasi. Meskipun eksploitasi ini bukan kesalahan Plutus, kami sekarang menyadari bahwa kami terlalu cepat menganjurkan protokol yang menyertakan plvGLP."
Dengan semakin populernya plvGLP, penting untuk memastikan komunitas kami mengetahui setiap integrasi plvGLP untuk menggarisbawahi penggunaan integrasi yang luas dan manfaat yang telah mereka berikan bagi pengembangan protokol dan pengguna individu. Kami sangat menyesalkan hal ini. Kami mengambil kesimpulan yang terburu-buru. Oleh karena itu, mulai sekarang, kami tidak akan lagi menganjurkan protokol yang belum ditinjau oleh auditor independen.
Mirip dengan eksploitasi Mango Marketplace pada 11 Oktober, di mana lebih dari $100 juta dicuri dengan mengubah data oracle harga. Selain itu, serangan Lodestar memungkinkan para pelaku untuk melakukan pinjaman bitcoin tanpa agunan.