El protocolo de préstamo basado en arbitraje Lodestar Finance fue explotado en un ataque de préstamo relámpago el 10 de diciembre. Según Lodestar, el atacante manipuló el precio del token plvGLP antes de tomar prestada toda la liquidez de la plataforma utilizando el token inflado.
En un hilo de Twitter, Lodestar explicado el flujo de ataque. El atacante primero manipuló el tipo de cambio del contrato plvGLP a 1,83 GLP por plvGLP, “un exploit que por sí solo no sería rentable”, dijo la empresa.
Luego, el atacante suministró garantías de plvGLP a Lodestar y tomó prestada toda la liquidez disponible, retirando parte de los fondos “hasta que el mecanismo de relación de garantía impidió una liquidación total de plvGLP”.
Tras el hackeo, “varios titulares de plvGLP también aprovecharon la oportunidad y también cobraron a 1,83 glp por plvGLP”. El pirata informático pudo quemar un poco más de 3 millones en GLP, obteniendo ganancias con los “fondos robados en Lodestar, menos el GLP que quemaron”, señaló la plataforma DeFi.
El atacante obtuvo alrededor de $ 5,8 millones en ganancias. Lodestar afirma que casi 2,8 millones del GLP (alrededor de $ 2,4 millones) eran recuperables, que deberían usarse para pagar a los depositantes. La compañía está tratando de negociar una recompensa por errores con su explotador:
Si usted es el hacker, comuníquese con nosotros para que podamos encontrar un acuerdo de sombrero blanco y seguir adelante.
Recuperar los fondos de nuestros usuarios es la principal prioridad y recompensaremos generosamente tu colaboración.#Cortar a tajos #sombrero blanco #arbitro $LODE #Explotar #DEFI https://t.co/SWlCr3KMib
— Finanzas Lodestar (,) (@LodestarFinance) 10 de diciembre de 2022
La principal vulnerabilidad que condujo al ataque está dentro de GLPOracle y cómo maneja su precio. En un análisis, el equipo de auditoría de Solidity Finance dijo que el evento destacó “que utilizar oráculos resistentes a la manipulación es una pieza de DeFi de importancia crítica, especialmente en protocolos que prestan activos de usuario”.
En un comunicado, el agregador de gobernanza PlutusDAO señalado que sus “productos y plataforma funcionaron exactamente como se esperaba durante todo el evento. Todos los fondos en Plutus están completamente seguros. El exploit fue únicamente el resultado de la implementación del oráculo de Lodestar”. También declaró:
“Queremos asumir la responsabilidad de promover un protocolo no auditado. Si bien el exploit no es culpa de Plutus, reconocemos el hecho de que estábamos demasiado ansiosos por promover un protocolo que integre plvGLP. Con plvGLP ganando una tracción significativa, hemos querido resalte todas las integraciones de plvGLP a nuestra comunidad para enfatizar la adopción y las oportunidades que las integraciones han presentado tanto para usuarios individuales como para protocolos. Por esto, nos disculpamos. Nos precipitamos y en el futuro ya no promocionaremos protocolos que no estén auditados. “
El ataque de Lodestar fue similar al exploit de Mango Markets el 11 de octubre, cuando un atacante robó más de $ 100 millones a través de la manipulación de los datos del oráculo de precios, lo que permitió a los piratas informáticos obtener préstamos en criptomonedas sin garantía.