DeFi protokols, Lodestar Finance, uzlauzts zibatmiņas aizdevuma uzbrukumā

10. decembrī tika uzsākts zibatmiņas aizdevuma uzbrukums pret Arbitrum balstīto aizņemšanās protokolu Lodestar Finance. Lodestar apgalvo, ka uzbrucējs palielināja plvGLP marķiera vērtību vietnē PlutusDAO un pēc tam izmantoja šo marķieri, lai aizņemtos visu tīklā pieejamo likviditāti.
Lodestārs skaidro
Lodestars tweetu sērijā izklāstīja uzbrukuma procesu. Uzbrucējs sāka, nosakot plvGLP līguma maiņas kursu uz 1,83 GLP par plvGLP, "uzbrukums, kas vien būtu nerentabls", kā norādīja uzņēmums. Pēc tam uzbrucējs ieķīlāja plvGLP kā nodrošinājumu Lodestar, aizņemoties maksimālo iespējamo summu un izņēma daļu naudas, "līdz CRM izslēdza plvGLP pilnīgu likvidāciju".
Pēc uzlaušanas bija "daudzi plvGLP turētāji", kuri "arī ieguva 1,83 glp par plvGLP". Saskaņā ar DeFi platformu, hakeris nopelnīja naudu par "Lodestar nozagtajiem līdzekļiem — atskaitot viņu iznīcināto GLP". Tas ir nedaudz vairāk par 3 miljoniem GLP.
Noziedznieks nopelnīja gandrīz 5,8 miljonus dolāru. Tomēr saskaņā ar Lodestar sniegto informāciju aptuveni 2,8 miljoni USD no GLP (apmēram 2,5 miljoni USD) bija atgūstami, un tie būtu jāizmanto, lai atmaksātu noguldītājiem. Turklāt uzņēmums risina sarunas ar hakeri, lai piedāvātu atlīdzību par kļūdu:
Galvenais trūkums, kas ļāva veikt uzbrukumu, ir orākulā, ko Lodestar izveidoja, lai noteiktu plvGLP vērtību. Solidity Finance audita komanda norādīja, ka šis notikums parādīja, "ka pret ekspluatāciju neaizsargātu orākulu izvietošana ir ļoti svarīga DeFi sastāvdaļa, jo īpaši protokolos, kas aizdod lietotāju līdzekļus".
PlutusDAO izdod paziņojumu
PlutusDAO, pārvaldības apkopotājs, ir izplatījis paziņojumu, kurā teikts: “Viss noritēja bez aizķeršanās, un produkti un platforma darīja to, kas tiem bija jādara. Plutus vienmēr garantē visu lietotāju naudas drošību. Tikai Lodestar orākula ieviešana bija atbildīga par ievainojamību. Dokumentā bija arī:
“Mēs vēlamies piekrist tam, ka iestājamies par nepārbaudītu procedūru. Pat ja šī izmantošana nav Plutas vaina, mēs tagad saprotam, ka bijām pārāk ātri, lai atbalstītu protokolu, kurā bija iekļauts plvGLP.
Pieaugot plvGLP popularitātei, bija svarīgi nodrošināt, lai mūsu kopiena būtu informēta par katru plvGLP integrāciju, lai uzsvērtu integrāciju plašo izmantošanu un priekšrocības, ko tās ir devušas protokolu izstrādei un atsevišķiem lietotājiem. Mēs to patiesi nožēlojam. Mēs izdarījām pārsteidzīgus secinājumus. Tāpēc no šī brīža mēs neatbalstīsim protokolus, kurus neatkarīgs auditors nav izskatījis.
Līdzīgi kā Mango tirgus laukums 11. oktobrī, kurā tika atņemti vairāk nekā 100 miljoni ASV dolāru, mainot Oracle cenas datus. Turklāt Lodestar uzbrukums ļāva vainīgajiem veikt Bitcoin aizdevumus ar nepietiekamu nodrošinājumu.