Giao thức DeFi, Lodestar Finance, bị tấn công trong cuộc tấn công cho vay flash

Vào ngày 10 tháng 12, một cuộc tấn công cho vay flash đã được phát động chống lại giao thức vay dựa trên Arbitrum Lodestar Finance. Lodestar tuyên bố rằng kẻ tấn công đã thổi phồng giá trị của token plvGLP trên PlutusDAO và sau đó sử dụng token đó để vay toàn bộ nguồn cung thanh khoản có sẵn trên mạng.
Lodestar giải thích
Lodestar đã trình bày quá trình tấn công trong một loạt các tweet. Kẻ tấn công bắt đầu bằng cách đặt tỷ giá hối đoái hợp đồng plvGLP là 1,83 GLP cho mỗi plvGLP, "một cuộc tấn công mà chỉ riêng nó đã không có lợi nhuận", như công ty đã nói. Sau đó, kẻ tấn công đã thế chấp plvGLP làm tài sản thế chấp với Lodestar, vay số tiền tối đa có thể và rút một phần tiền "cho đến khi CRM ngăn cản việc thanh lý hoàn toàn plvGLP".
Sau vụ hack, có “nhiều người nắm giữ plvGLP” “cũng nhận được 1,83 glp cho mỗi plvGLP”. Theo nền tảng DeFi, tin tặc đã kiếm được tiền từ “số tiền bị đánh cắp trên Lodestar – trừ đi số GLP mà chúng đã phá hủy”. Số tiền này chỉ hơn 3 triệu GLP một chút.
Kẻ thủ ác đã kiếm được gần 5,8 triệu đô la. Tuy nhiên, theo Lodestar, khoảng 2,8 triệu đô la trong số GLP (khoảng 2,5 triệu đô la) có thể thu hồi được và nên được sử dụng để trả tiền cho người gửi tiền. Ngoài ra, doanh nghiệp đang đàm phán với tin tặc để đưa ra tiền thưởng cho lỗi:
Lỗ hổng chính cho phép cuộc tấn công này nằm trong oracle mà Lodestar xây dựng để xác định giá trị của plvGLP. Sự cố này chứng minh rằng "việc triển khai các oracle miễn nhiễm với khai thác là một phần cực kỳ thiết yếu của DeFi, đặc biệt là trong các giao thức cho vay tài sản của người dùng", theo nhóm kiểm toán Solidity Finance.
PlutusDAO đưa ra tuyên bố
PlutusDAO, một công cụ tổng hợp quản trị, đã đưa ra tuyên bố nêu rõ, “Mọi thứ diễn ra suôn sẻ, và các sản phẩm và nền tảng đã thực hiện đúng chức năng của chúng. Plutus đảm bảo an toàn cho tất cả tiền của người dùng mọi lúc. Chỉ có triển khai oracle của Lodestar chịu trách nhiệm về lỗ hổng bảo mật.” Tài liệu cũng bao gồm những nội dung sau:
“Chúng tôi muốn thừa nhận rằng chúng tôi đang ủng hộ một quy trình chưa được xác minh. Mặc dù lỗ hổng này không phải là lỗi của Plutus, nhưng giờ chúng tôi nhận ra rằng chúng tôi đã quá vội vàng khi ủng hộ một giao thức bao gồm plvGLP.”
Với sự phổ biến ngày càng tăng của plvGLP, điều quan trọng là đảm bảo cộng đồng của chúng tôi biết về mọi tích hợp plvGLP để nhấn mạnh việc sử dụng rộng rãi các tích hợp và những lợi ích mà chúng mang lại cho quá trình phát triển giao thức và người dùng cá nhân. Chúng tôi thực sự hối tiếc về điều này. Chúng tôi đã vội kết luận. Do đó, từ bây giờ, chúng tôi sẽ không ủng hộ các giao thức mà một kiểm toán viên độc lập chưa xem xét.”
Tương tự như vụ khai thác Mango Marketplace vào ngày 11 tháng 10, khi hơn 100 triệu đô la đã bị đánh cắp bằng cách thay đổi dữ liệu oracle giá. Ngoài ra, vụ tấn công Lodestar cho phép thủ phạm thực hiện các khoản vay bitcoin không có tài sản thế chấp.