10 月 XNUMX 日,基于 Arbitrum 的借贷协议 Lodestar Finance 在闪电贷攻击中被利用。据 Lodestar 称,攻击者在使用膨胀的代币借入所有平台流动性之前操纵了 plvGLP 代币的价格。
在 Twitter 线程中,Lodestar 解释 攻击流。 该公司表示,攻击者首先将 plvGLP 合约的汇率操纵为每 plvGLP 1.83 GLP,“这种利用本身是无利可图的”。
然后,攻击者向 Lodestar 提供 plvGLP 抵押品并借用所有可用的流动性,兑现部分资金“直到抵押率机制阻止 plvGLP 的完全清算。”
在黑客攻击之后,“几个 plvGLP 持有者也利用了这个机会,并以每个 plvGLP 1.83 glp 的价格套现。” DeFi 平台指出,黑客能够销毁超过 3 万的 GLP,从“Lodestar 上被盗的资金减去他们销毁的 GLP”中获利。
攻击者获利约 5.8 万美元。 Lodestar 表示,近 2.8 万的 GLP(约 2.4 万美元)是可收回的,应该用于偿还存款人。 该公司正试图与其开发者协商漏洞赏金:
如果您是黑客,请与我们联系,以便我们找到白帽协议并继续前进。
收回我们用户的资金是首要任务,我们将慷慨地奖励您的合作。#黑客 #白帽 #仲裁 $LODE #开发 #DEFI https://t.co/SWlCr3KMib
- 北极星金融 (,) (@LodestarFinance) 2022 年 12 月 10 日
导致攻击的主要漏洞存在于 GLPOracle 内部及其定价方式。 在一项分析中,Solidity Finance 审计团队表示,该事件强调“利用预言机来抵抗操纵是 DeFi 的一个至关重要的部分,尤其是在借出用户资产的协议中。”
在一份声明中,治理聚合器 PlutusDAO 注意到 它的“产品和平台在整个活动中完全按照预期运行。 Plutus 上的所有资金都是完全安全的。 该漏洞完全是 Lodestar 的 oracle 实施的结果。” 它还指出:
“我们希望负责推广未经审计的协议。 虽然该漏洞绝不是 Plutus 的错,但我们认识到我们太急于推广集成 plvGLP 的协议这一事实。 随着 plvGLP 获得巨大的关注,我们希望向我们的社区强调所有 plvGLP 集成,以强调集成为个人用户和协议带来的采用和机会。 为此,我们深表歉意。 我们抢先一步,今后我们将不再推广未经审计的协议。”
Lodestar 攻击类似于 11 月 XNUMX 日的 Mango Markets 攻击,当时 超过 100 亿美元被盗 通过攻击者操纵价格预言机数据,允许黑客获得抵押不足的加密货币贷款。
资料来源:https://cointelegraph.com/news/lodestar-finance-exploited-in-flash-loan-attack