Lodestar Finance در حمله وام فلش مورد سوء استفاده قرار گرفت

ارسال شده در 2022-12-11 |

پروتکل وام مبتنی بر آربیتروم Lodestar Finance در یک حمله وام فوری در 10 دسامبر مورد سوء استفاده قرار گرفت. طبق گفته Lodestar، مهاجم قیمت توکن plvGLP را قبل از قرض گرفتن تمام نقدینگی پلت فرم با استفاده از توکن بادشده دستکاری کرده است.

در یک تاپیک توییتری، Lodestar توضیح داد جریان حمله این شرکت گفت، مهاجم ابتدا نرخ مبادله قرارداد plvGLP را به 1.83 GLP به ازای هر plvGLP دستکاری کرد، “یک سوء استفاده که به خودی خود بی سود خواهد بود”.

سپس، مهاجم وثیقه plvGLP را به Lodestar ارائه کرد و تمام نقدینگی موجود را قرض گرفت و بخشی از وجوه را نقد کرد “تا زمانی که مکانیسم نسبت وثیقه مانع از انحلال کامل plvGLP شود.”

پس از هک، “چند دارنده plvGLP نیز از این فرصت استفاده کردند و همچنین 1.83 GLP به ازای هر plvGLP را نقد کردند.” پلتفرم DeFi خاطرنشان کرد: هکر توانست کمی بیش از 3 میلیون در GLP بسوزاند و از “وجوه دزدیده شده در Lodestar – منهای GLP که سوزانده بودند” سود ببرد.

مهاجم حدود 5.8 میلیون دلار سود کسب کرد. Lodestar بیان می کند که نزدیک به 2.8 میلیون از GLP (حدود 2.4 میلیون دلار) قابل بازیافت است که باید برای بازپرداخت سپرده گذاران استفاده شود. این شرکت در تلاش است تا با بهره‌بردار خود درباره جایزه باگ مذاکره کند:

اگر شما هکر هستید، با ما تماس بگیرید تا بتوانیم یک توافق کلاه سفید پیدا کنیم و ادامه دهیم.

بازیابی وجوه کاربران ما اولویت اصلی است و ما سخاوتمندانه به همکاری شما پاداش خواهیم داد.#هک #کلاه سفید #آربیتروم $LODE #بهره برداری #DEFI https://t.co/SWlCr3KMib

— Lodestar Finance (،) (@LodestarFinance) 10 دسامبر 2022

آسیب پذیری اصلی که منجر به حمله شده است در داخل GLPOracle و نحوه انجام قیمت آن است. در تحلیلی، تیم حسابرسی سالیدیتی فاینانس گفت: این رویداد تاکید کرد که «استفاده از اوراکل‌های مقاوم در برابر دستکاری، بخش بسیار مهمی از DeFi است، به‌ویژه در پروتکل‌هایی که دارایی‌های کاربر را قرض می‌دهند».

در بیانیه ای، PlutusDAO تجمیع کننده حاکمیتی اشاره کرد که “محصولات و پلتفرم آن دقیقاً همانطور که در کل رویداد در نظر گرفته شده بود عمل کردند. تمام سرمایه های موجود در Plutus کاملاً ایمن هستند. این سوء استفاده صرفاً نتیجه اجرای اوراکل Lodestar بود.” همچنین بیان کرد:

“ما می خواهیم مسئولیت ترویج یک پروتکل حسابرسی نشده را بر عهده بگیریم. در حالی که سوء استفاده به هیچ وجه تقصیر پلوتوس نیست، ما این واقعیت را درک می کنیم که ما بسیار مشتاق بودیم پروتکلی را که plvGLP یکپارچه می کند تبلیغ کنیم. با توجه به محبوبیت قابل توجه plvGLP، ما می خواستیم همه ادغام‌های plvGLP را برای جامعه خود برجسته کنید تا بر پذیرش و فرصت‌هایی که ادغام‌ها برای کاربران و پروتکل‌ها ارائه کرده است تأکید کنید. به این دلیل، پوزش می‌طلبیم. ما از اسلحه استفاده کردیم و در آینده، دیگر پروتکل‌هایی را که ممیزی نشده‌اند تبلیغ نمی‌کنیم. “

حمله Lodestar مشابه بهره برداری Mango Markets در 11 اکتبر بود، زمانی که بیش از 100 میلیون دلار از طریق مهاجمی که داده های اوراکل قیمت را دستکاری می کرد، به سرقت رفت و به هکرها اجازه داد وام های ارزهای دیجیتال تحت وثیقه دریافت کنند.