アービトラムベースの融資プロトコル Lodestar Finance は、10 月 XNUMX 日のフラッシュ ローン攻撃で悪用されました。Lodestar によると、攻撃者は、膨張したトークンを使用してすべてのプラットフォームの流動性を借りる前に、plvGLP トークンの価格を操作しました。
ツイッターのスレッドで、Lodestar 説明 攻撃の流れ。 攻撃者は最初に plvGLP 契約の為替レートを plvGLP あたり 1.83 GLP に操作しました。
次に、攻撃者は plvGLP の担保を Lodestar に供給し、利用可能なすべての流動性を借りて、「担保率メカニズムが plvGLP の完全な清算を防ぐまで」資金の一部を現金化しました。
ハッキングの後、「複数の plvGLP 保有者もこの機会を利用し、plvGLP あたり 1.83 glp でキャッシュアウトしました。」 ハッカーは GLP で 3 万強を燃やすことができ、「Lodestar で盗まれた資金から彼らが燃やした GLP を差し引いたもの」で利益を上げました。
攻撃者は約 5.8 万ドルの利益を上げました。 Lodestar は、GLP のうち約 2.8 万ドル (約 2.4 万ドル) が回収可能であり、これを預金者への返済に使用する必要があると述べています。 同社は、悪用者とバグ報奨金の交渉を試みています。
あなたがハッカーである場合は、ホワイトハット契約を見つけて先に進むことができるように、私たちに連絡してください.
ユーザーの資金を回収することが最優先事項であり、あなたの協力に惜しみなく報います。#ハック #白い帽子 #アービトラム $LODE #エクスプロイト #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (、) (@LodestarFinance) 2022 年 12 月 10 日
攻撃につながった主な脆弱性は、GLPOracle の内部と、その価格の実行方法です。 分析の中で、Solidity Financeの監査チームは、このイベントが「特にユーザー資産を貸与するプロトコルにおいて、操作に耐性のあるオラクルを利用することがDeFiの非常に重要な要素であること」を強調したと述べました。
声明の中で、ガバナンス アグリゲーターの PlutusDAO は 注意 その製品とプラットフォームは、イベント全体を通して意図したとおりに機能しました。 Plutus のすべての資金は完全に安全です。 エクスプロイトは、Lodestar のオラクル実装の結果にすぎません。」 また、次のようにも述べています。
「私たちは、未監査のプロトコルを推進する責任を負いたいと考えています。 このエクスプロイトは決して Plutus のせいではありませんが、plvGLP を統合したプロトコルを促進することに熱心すぎたという事実を認識しています。 plvGLP が大きな牽引力を獲得しているため、すべての plvGLP 統合をコミュニティに強調して、統合が個々のユーザーとプロトコルの両方にもたらした採用と機会を強調したいと考えました。 このため、お詫び申し上げます。 私たちは銃を飛ばしました、そして今後、監査されていないプロトコルを促進することはもうありません。」
Lodestar の攻撃は、11 月 XNUMX 日の Mango Markets のエクスプロイトに似ていました。 100億ドル以上が盗まれました 攻撃者が価格オラクル データを操作することで、ハッカーが担保不足の仮想通貨ローンを利用できるようになります。
ソース: https://cointelegraph.com/news/lodestar-finance-exploited-in-flash-loan-attack