Lodestar Finance bị hack trong cuộc tấn công flash loan.
Lỗ hổng chính đằng sau cuộc tấn công là một tiên tri plvGLP mà kẻ tấn công có thể thao túng.
Giao thức cho vay dựa trên Arbitrum Lodestar Finance đã bị hack trong một cuộc tấn công cho vay chớp nhoáng vào ngày 10 tháng 12. Theo Lodestar, kẻ tấn công đã thao túng giá của mã thông báo plvGLP của PlutusDAO trước khi vay tất cả thanh khoản của nền tảng bằng cách sử dụng mã thông báo bị lạm phát.
Trong một chủ đề trên Twitter, Lodestar đã giải thích quy trình tấn công. Công ty cho biết trước tiên, kẻ tấn công đã thao túng tỷ giá hối đoái của hợp đồng plvGLP thành 1,83 GLP trên mỗi plvGLP, “một hoạt động hack mà bản thân nó sẽ không sinh lãi”.
Sau đó, kẻ tấn công đã cung cấp tài sản thế chấp plvGLP cho Lodestar và vay tất cả thanh khoản có sẵn, rút một phần tiền ra “cho đến khi cơ chế tỷ lệ tài sản thế chấp ngăn chặn việc thanh lý toàn bộ plvGLP.”
Sau vụ hack, “một số chủ sở hữu plvGLP cũng đã tận dụng cơ hội và cũng rút tiền mặt với giá 1,83 glp mỗi plvGLP.” Tin tặc đã có thể đốt hơn 3 triệu GLP một chút, kiếm lợi nhuận từ “số tiền bị đánh cắp trên Lodestar – trừ đi GLP mà chúng đã đốt.”, nền tảng DeFi lưu ý.
Kẻ tấn công đã kiếm được khoảng 5,8 triệu USD tiền lãi. Lodestar tuyên bố rằng gần 2,8 triệu GLP (khoảng 2,4 triệu USD) có thể thu hồi được, số tiền này sẽ được sử dụng để hoàn trả cho người gửi tiền. Công ty đang cố gắng thương lượng tiền thưởng lỗi với hacker:
If you are the hacker, reach out to us so we can find a white-hat agreement and move on.
Recovering the funds of our users is the main priority and we will generously reward your collaboration.#Hack #whitehat #Arbitrum $LODE #Exploit #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (💙,🧡) (@LodestarFinance) December 10, 2022
Lỗ hổng chính dẫn đến cuộc tấn công nằm trong Oracle mà Lodestar đã triển khai để phân biệt giá của plvGLP. Trong một phân tích, nhóm kiểm toán của Solidity Finance cho biết sự kiện này đã nhấn mạnh rằng “việc sử dụng các tiên tri chống thao túng là một phần cực kỳ quan trọng của DeFi, đặc biệt là trong các giao thức cho vay tài sản của người dùng.”
Trong một tuyên bố, công cụ tổng hợp quản trị PlutusDAO lưu ý rằng “các sản phẩm và nền tảng của họ hoạt động chính xác như dự kiến trong toàn bộ sự kiện. Tất cả tiền trên Plutus đều hoàn toàn an toàn. Việc hack chỉ là kết quả của việc triển khai tiên tri của Lodestar.” Nó cũng tuyên bố:
“Chúng tôi muốn chịu trách nhiệm quảng bá một giao thức chưa được kiểm tra. Mặc dù việc hack không phải là lỗi của Plutus, nhưng chúng tôi nhận ra thực tế là chúng tôi đã quá háo hức quảng bá một giao thức tích hợp plvGLP. Với việc plvGLP đạt được sức hút đáng kể, chúng tôi muốn làm nổi bật tất cả các tích hợp plvGLP cho cộng đồng của chúng tôi để nhấn mạnh việc áp dụng và các cơ hội mà các tích hợp đã mang lại cho cả người dùng cá nhân và các giao thức. Chúng tôi xin lỗi vì điều này. Chúng tôi đã hành động và trong tương lai, chúng tôi sẽ không còn quảng cáo các giao thức chưa được kiểm tra nữa. “
Cuộc tấn công Lodestar tương tự như cuộc hack Mango Markets vào ngày 11 tháng 10, khi hơn 100 triệu USD đã bị đánh cắp thông qua một kẻ tấn công thao túng dữ liệu tiên tri về giá, cho phép tin tặc thực hiện các khoản vay tiền điện tử được thế chấp dưới mức.
