12月10日、Arbitrumベースの借入プロトコルLodestar Financeに対してフラッシュローン攻撃が開始されました。Lodestarは、攻撃者がPlutusDAOのplvGLPトークンの価値を膨らませ、そのトークンを使用してネットワーク上の利用可能な流動性供給をすべて借りたと主張しています。

ロードスターが説明する

Lodestar は一連のツイートで攻撃のプロセスを説明した。攻撃者はまず、plvGLP 契約の為替レートを 1 plvGLP あたり 1.83 GLP に設定し、同社の言葉を借りれば「それだけでは利益にならない攻撃」とした。次に、攻撃者は plvGLP を Lodestar に担保として差し出し、可能な限り最大額を借り入れて、その資金の一部を「CRM が plvGLP の完全な清算を妨げるまで」引き出した。

ハッキング後、「plvGLP保有者」が多数存在し、「plvGLP 1つにつき1.83 glp」も獲得した。DeFiプラットフォームによると、ハッカーは「Lodestarで盗んだ資金から破壊したGLPを差し引いた金額」で金を稼いだという。これは300万GLP強に相当する。

犯人はおよそ 580 万ドルの利益を得た。しかし、Lodestar によると、GLP のうち約 280 万ドル (約 250 万ドル) は回収可能であり、預金者への返済に充てられるはずだという。さらに、同社はハッカーとバグ報奨金の提供について協議中である。

攻撃を可能にした主な欠陥は、plvGLP の価値を決定するために Lodestar が構築したオラクルに存在しています。Solidity Finance 監査チームが述べたように、この出来事は「悪用されないオラクルを展開することが DeFi、特にユーザー資産を貸し出すプロトコルにおいて極めて重要な部分である」ことを証明しました。

PlutusDAOが声明を発表

ガバナンスアグリゲーターのPlutusDAOは、「すべては滞りなく進み、製品とプラットフォームは期待通りに機能しました。Plutusは常にすべてのユーザーの資金の安全性を保証します。脆弱性の原因はLodestarのオラクル実装のみでした」という声明を発表しました。この文書には次の内容も含まれていました。

「検証されていない手順を推奨しているという事実を認めたいと思います。この脆弱性は Plutus のせいではありませんが、plvGLP を含むプロトコルを推奨するのは早計だったと認識しています。」

plvGLP の人気が高まるにつれ、コミュニティがすべての plvGLP 統合について確実に知るようにし、統合の広範な使用と、それがプロトコル開発と個々のユーザーにもたらした利点を強調することが重要でした。私たちは心からこれを後悔しています。私たちは結論を急ぎました。したがって、今後は独立監査人がレビューしていないプロトコルを推奨することはありません。」

10 月 11 日の Mango Marketplace の攻撃に類似しており、価格オラクル データを改ざんすることで 1 億ドル以上が盗まれました。さらに、Lodestar 攻撃により、犯人は担保不足のビットコイン ローンを実行することができました。