Am 10. Dezember, a Flash-Kredit-Angriff wurde gegen das Arbitrum-basierte Kreditprotokoll Lodestar Finance gestartet. Lodestar behauptet, dass ein Angreifer den Wert des plvGLP-Tokens auf PlutusDAO erhöht und dieses Token dann verwendet hat, um die gesamte verfügbare Liquidität im Netzwerk zu leihen.
erklärt Leitstern
Lodestar legte den Angriffsprozess in einer Reihe von Tweets dar. Der Angreifer begann damit, den Wechselkurs des plvGLP-Vertrags auf 1.83 GLP pro plvGLP festzulegen, „ein Angriff, der allein unrentabel wäre“, wie die Firma es ausdrückte. Dann verpfändete der Angreifer das plvGLP als Sicherheit bei Lodestar, borgte den maximal möglichen Betrag und zog einen Teil des Geldes ab, „bis das CRM eine vollständige Liquidation des plvGLP ausschloss“.
Nach dem hackengab es „viele plvGLP-Inhaber“, die „auch 1.83 glp pro plvGLP“ bekamen. Laut der DeFi-Plattform verdiente der Hacker Geld mit den „auf Lodestar gestohlenen Geldern – abzüglich der von ihnen zerstörten GLP“. Dies beläuft sich auf etwas mehr als 3 Millionen GLP.
Der Täter machte fast 5.8 Millionen Dollar netto. Laut Lodestar waren jedoch etwa 2.8 Millionen US-Dollar des GLP (rund 2.5 Millionen US-Dollar) erstattungsfähig und sollten zur Rückzahlung von Einlegern verwendet werden. Darüber hinaus befindet sich das Unternehmen in Gesprächen mit dem Hacker, um ein Bug-Bounty anzubieten:
Der Hauptfehler, der den Angriff ermöglichte, liegt in dem Orakel, das Lodestar gebaut hat, um den Wert von plvGLP zu bestimmen. Der Vorfall hat gezeigt, „dass der Einsatz von Orakeln, die gegen Ausbeutung immun sind, ein entscheidender Bestandteil von DeFi ist, insbesondere in Protokollen, die Benutzervermögen verleihen“, wie das Auditteam von Solidity Finance feststellte.
PlutusDAO veröffentlicht Erklärung
PlutusDAO, ein Governance-Aggregator, hat eine Erklärung veröffentlicht, in der es heißt: „Alles lief reibungslos, und die Produkte und die Plattform taten, was sie tun sollten. Plutus garantiert jederzeit die Sicherheit aller Benutzergelder. Nur Lodestars Oracle-Implementierung für die Schwachstelle verantwortlich war.“ Das Dokument enthielt außerdem Folgendes:
„Wir möchten zugeben, dass wir für ein nicht verifiziertes Verfahren plädieren. Obwohl dieser Exploit nicht die Schuld von Plutus ist, stellen wir jetzt fest, dass wir viel zu schnell für ein Protokoll plädiert haben, das plvGLP enthält.“
Angesichts der wachsenden Popularität von plvGLP war es wichtig sicherzustellen, dass unsere Community über jede plvGLP-Integration Bescheid wusste, um die weit verbreitete Verwendung der Integrationen und die Vorteile zu unterstreichen, die sie der Protokollentwicklung und einzelnen Benutzern gebracht haben. Wir bedauern dies aufrichtig. Wir haben voreilige Schlüsse gezogen. Daher werden wir uns von nun an nicht mehr für Protokolle einsetzen, die nicht von einem unabhängigen Prüfer geprüft wurden.“
Ähnlich wie die Mango Marketplace-Exploit am 11. Oktober, wo über 100 Millionen Dollar durch die Änderung von Preisorakeldaten eingenommen wurden. Darüber hinaus ermöglichte der Lodestar-Angriff den Tätern, unterbesicherte Bitcoin-Darlehen auszuführen.
Quelle: https://crypto.news/defi-protocol-lodestar-finance-hacked-in-flash-loan-attack/