Em 10 de dezembro, um ataque relâmpago de empréstimo foi lançado contra o protocolo de empréstimo baseado em Arbitrum, Lodestar Finance. A Lodestar afirma que um invasor inflou o valor do token plvGLP no PlutusDAO e então usou esse token para emprestar toda a oferta de liquidez disponível na rede.

Estrela Polar explica

Lodestar expôs o processo de ataque em uma série de tweets. O invasor começou definindo a taxa de câmbio do contrato plvGLP para 1,83 GLP por plvGLP, “um ataque que por si só não seria lucrativo”, como disse a empresa. Em seguida, o invasor ofereceu o plvGLP como garantia à Lodestar, emprestando o valor máximo possível e retirando uma parte do dinheiro “até que o CRM impedisse uma liquidação total do plvGLP”.

Após o hack, havia “muitos detentores de plvGLP” que “também obtiveram 1,83 glp por plvGLP”. De acordo com a plataforma DeFi, o hacker ganhou dinheiro com “fundos roubados no Lodestar – menos o GLP que eles destruíram”. Isso equivale a pouco mais de 3 milhões de GLP.

O perpetrador arrecadou quase US$ 5,8 milhões. No entanto, de acordo com a Lodestar, cerca de US$ 2,8 milhões do GLP (cerca de US$ 2,5 milhões) eram recuperáveis ​​e deveriam ser utilizados para reembolsar os depositantes. Além disso, a empresa está em negociações com o hacker para oferecer uma recompensa por bugs:

A principal falha que permitiu o ataque está presente no oráculo que a Lodestar construiu para determinar o valor do plvGLP. A ocorrência demonstrou “que a implantação de oráculos imunes à exploração é uma parte extremamente essencial do DeFi, particularmente em protocolos que emprestam ativos aos usuários”, conforme declarado pela equipe de auditoria da Solidity Finance.

PlutusDAO divulga declaração

PlutusDAO, um agregador de governança, divulgou um comunicado afirmando: “Tudo correu bem e os produtos e a plataforma fizeram o que deveriam fazer. Plutus garante a segurança de todo o dinheiro dos usuários em todos os momentos. Apenas a implementação do oráculo da Lodestar foi responsável pela vulnerabilidade.” O documento também incluía o seguinte:

“Gostaríamos de admitir que defendemos um procedimento não verificado. Mesmo que essa exploração não seja culpa do Plutus, agora percebemos que fomos muito rápidos em defender um protocolo que incluísse o plvGLP.”

Com a crescente popularidade do plvGLP, era importante garantir que a nossa comunidade conhecesse todas as integrações do plvGLP para sublinhar o uso generalizado das integrações e os benefícios que elas trouxeram ao desenvolvimento de protocolos e aos usuários individuais. Lamentamos sinceramente isso. Tiramos conclusões precipitadas. Portanto, de agora em diante, não defenderemos protocolos que um auditor independente não tenha revisado.”

Semelhante à exploração do Mango Marketplace em 11 de outubro, onde mais de US$ 100 milhões foram obtidos pela alteração dos dados do oráculo de preços. Além disso, o ataque à Lodestar permitiu que os perpetradores realizassem empréstimos de bitcoin com garantia insuficiente.