پروتکل وام مبتنی بر آربیتروم Lodestar Finance در یک حمله وام فوری در 10 دسامبر مورد سوء استفاده قرار گرفت. طبق گفته Lodestar، مهاجم قیمت توکن plvGLP را قبل از قرض گرفتن تمام نقدینگی پلت فرم با استفاده از توکن بادشده دستکاری کرده است.
در یک تاپیک توییتری، Lodestar توضیح داد جریان حمله این شرکت گفت، مهاجم ابتدا نرخ مبادله قرارداد plvGLP را به 1.83 GLP به ازای هر plvGLP دستکاری کرد، “یک سوء استفاده که به خودی خود بی سود خواهد بود”.
سپس، مهاجم وثیقه plvGLP را به Lodestar ارائه کرد و تمام نقدینگی موجود را قرض گرفت و بخشی از وجوه را نقد کرد “تا زمانی که مکانیسم نسبت وثیقه مانع از انحلال کامل plvGLP شود.”
پس از هک، “چند دارنده plvGLP نیز از این فرصت استفاده کردند و همچنین 1.83 GLP به ازای هر plvGLP را نقد کردند.” پلتفرم DeFi خاطرنشان کرد: هکر توانست کمی بیش از 3 میلیون در GLP بسوزاند و از “وجوه دزدیده شده در Lodestar – منهای GLP که سوزانده بودند” سود ببرد.
مهاجم حدود 5.8 میلیون دلار سود کسب کرد. Lodestar بیان می کند که نزدیک به 2.8 میلیون از GLP (حدود 2.4 میلیون دلار) قابل بازیافت است که باید برای بازپرداخت سپرده گذاران استفاده شود. این شرکت در تلاش است تا با بهرهبردار خود درباره جایزه باگ مذاکره کند:
اگر شما هکر هستید، با ما تماس بگیرید تا بتوانیم یک توافق کلاه سفید پیدا کنیم و ادامه دهیم.
بازیابی وجوه کاربران ما اولویت اصلی است و ما سخاوتمندانه به همکاری شما پاداش خواهیم داد.#هک #کلاه سفید #تصمیم $LODE #بهره برداری #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (،) (@LodestarFinance) 10 دسامبر 2022
آسیب پذیری اصلی که منجر به حمله شده است در داخل GLPOracle و نحوه انجام قیمت آن است. در تحلیلی، تیم حسابرسی سالیدیتی فاینانس گفت: این رویداد تاکید کرد که «استفاده از اوراکلهای مقاوم در برابر دستکاری، بخش بسیار مهمی از DeFi است، بهویژه در پروتکلهایی که داراییهای کاربر را قرض میدهند».
در بیانیه ای، PlutusDAO تجمیع کننده حاکمیت اشاره شد که “محصولات و پلتفرم آن در کل رویداد دقیقاً همانطور که در نظر گرفته شده بود عمل کردند. تمام سرمایه های روی پلوتوس کاملاً ایمن هستند. این سوء استفاده صرفاً نتیجه اجرای اوراکل Lodestar بود.” همچنین بیان کرد:
“ما می خواهیم مسئولیت ترویج یک پروتکل حسابرسی نشده را بر عهده بگیریم. در حالی که سوء استفاده به هیچ وجه تقصیر پلوتوس نیست، ما این واقعیت را درک می کنیم که ما بسیار مشتاق بودیم پروتکلی را که plvGLP یکپارچه می کند تبلیغ کنیم. با توجه به محبوبیت قابل توجه plvGLP، ما می خواستیم همه ادغامهای plvGLP را برای جامعه خود برجسته کنید تا بر پذیرش و فرصتهایی که ادغامها برای کاربران و پروتکلها ارائه کرده است تأکید کنید. به این دلیل، پوزش میطلبیم. ما از اسلحه استفاده کردیم و در آینده، دیگر پروتکلهایی را که ممیزی نشدهاند تبلیغ نمیکنیم. “
حمله Lodestar مشابه بهره برداری Mango Markets در 11 اکتبر بود، زمانی که بیش از 100 میلیون دلار سرقت شد از طریق مهاجمی که دادههای اوراکل قیمت را دستکاری میکند و به هکرها اجازه میدهد وامهای ارزهای دیجیتال تحت وثیقه دریافت کنند.
