Protocollo DeFi, Lodestar Finance, hackerato in un attacco di prestito flash

Il 10 dicembre è stato lanciato un attacco di prestito flash contro il protocollo di prestito basato su Arbitrum Lodestar Finance. Lodestar sostiene che un aggressore ha gonfiato il valore del token plvGLP su PlutusDAO e poi ha utilizzato quel token per prendere in prestito l'intera fornitura di liquidità disponibile sulla rete.
Lodestar spiega
Lodestar ha esposto il processo di attacco in una serie di tweet. L'attaccante ha iniziato impostando il tasso di cambio del contratto plvGLP a 1,83 GLP per plvGLP, "un attacco che da solo sarebbe stato non redditizio", come ha affermato l'azienda. Quindi, l'attaccante ha impegnato il plvGLP come garanzia con Lodestar, prendendo in prestito l'importo massimo possibile e ritirando una parte del denaro "finché il CRM non ha impedito una liquidazione totale del plvGLP".
Dopo l'attacco, c'erano "molti possessori di plvGLP" che "hanno anche ottenuto 1,83 glp per plvGLP". Secondo la piattaforma DeFi, l'hacker ha guadagnato denaro sui "fondi rubati su Lodestar, al netto dei GLP che ha distrutto". Questo ammonta a poco più di 3 milioni di GLP.
L'autore del reato ha incassato quasi 5,8 milioni di dollari. Tuttavia, secondo Lodestar, circa 2,8 milioni di dollari del GLP (circa 2,5 milioni di dollari) erano recuperabili e dovrebbero essere utilizzati per rimborsare i depositanti. Inoltre, l'azienda è in trattativa con l'hacker per offrire una ricompensa per il bug:
La falla principale che ha permesso l'attacco è presente nell'oracolo creato da Lodestar per determinare il valore di plvGLP. L'evento ha dimostrato "che l'implementazione di oracoli immuni allo sfruttamento è una parte fondamentale della DeFi, in particolare nei protocolli che concedono in prestito risorse agli utenti", come affermato dal team di audit di Solidity Finance.
PlutusDAO rilascia una dichiarazione
PlutusDAO, un aggregatore di governance, ha rilasciato una dichiarazione in cui afferma: "Tutto è andato liscio come l'olio e i prodotti e la piattaforma hanno fatto ciò che dovevano fare. Plutus garantisce la sicurezza di tutti i fondi degli utenti in ogni momento. Solo l'implementazione dell'oracolo di Lodestar è stata responsabile della vulnerabilità". Il documento includeva anche quanto segue:
Vorremmo ammettere che stiamo sostenendo una procedura non verificata. Anche se questo exploit non è colpa di Plutus, ora ci rendiamo conto di essere stati fin troppo rapidi nel sostenere un protocollo che includeva plvGLP.
Con la crescente popolarità del plvGLP, era importante garantire che la nostra community fosse a conoscenza di ogni integrazione plvGLP per evidenziarne l'ampio utilizzo e i vantaggi che hanno apportato allo sviluppo dei protocolli e ai singoli utenti. Ce ne rammarichiamo sinceramente. Abbiamo tratto conclusioni affrettate. Pertanto, d'ora in poi, non sosterremo più protocolli che non siano stati sottoposti a revisione da parte di un revisore indipendente.
Simile all'attacco a Mango Marketplace dell'11 ottobre, in cui sono stati rubati oltre 100 milioni di dollari alterando i dati dell'oracolo dei prezzi, l'attacco a Lodestar ha permesso ai criminali di effettuare prestiti in bitcoin non garantiti.