Lodestar Finance โปรโตคอลการให้ยืมโดยใช้อนุญาโตตุลาการถูกนำไปใช้ในการโจมตีเงินกู้แบบแฟลชเมื่อวันที่ 10 ธันวาคม จากข้อมูลของ Lodestar ผู้โจมตีได้ควบคุมราคาของโทเค็น plvGLP ก่อนที่จะยืมสภาพคล่องของแพลตฟอร์มทั้งหมดโดยใช้โทเค็นที่สูงเกินจริง
ในกระทู้ Twitter Lodestar อธิบาย กระแสการโจมตี ในตอนแรก ผู้โจมตีได้ปรับเปลี่ยนอัตราแลกเปลี่ยนของสัญญา plvGLP เป็น 1.83 GLP ต่อ plvGLP "การแสวงประโยชน์โดยตัวมันเองจะไม่เกิดประโยชน์" บริษัทกล่าว
จากนั้นผู้โจมตีได้มอบหลักประกัน plvGLP ให้กับ Lodestar และยืมสภาพคล่องที่มีอยู่ทั้งหมด ถอนเงินส่วนหนึ่งของกองทุน “จนกว่ากลไกอัตราส่วนหลักประกันจะขัดขวางการชำระบัญชีของ plvGLP อย่างสมบูรณ์”
หลังจากการแฮก “ผู้ถือ plvGLP หลายคนใช้ประโยชน์จากโอกาสนี้และถอนเงินออกไปที่ 1.83 glp ต่อ plvGLP” แฮ็กเกอร์สามารถเผา GLP ได้มากกว่า 3 ล้านเล็กน้อย ทำกำไรจาก “เงินที่ถูกขโมยบน Lodestar – ลบด้วย GLP ที่พวกเขาเผา” แพลตฟอร์ม DeFi ระบุ
ผู้โจมตีทำกำไรได้ประมาณ 5.8 ล้านเหรียญสหรัฐ Lodestar ระบุว่าเกือบ 2.8 ล้านของ GLP (ประมาณ 2.4 ล้านดอลลาร์) สามารถกู้คืนได้ ซึ่งควรใช้เพื่อชำระคืนผู้ฝากเงิน บริษัทกำลังพยายามเจรจาต่อรองค่าบั๊กกับผู้โจมตี:
หากคุณเป็นแฮ็กเกอร์ ติดต่อเราเพื่อให้เราหาข้อตกลงหมวกขาวและเดินหน้าต่อไป
การกู้คืนเงินทุนของผู้ใช้ของเราเป็นสิ่งสำคัญที่สุด และเราจะให้รางวัลแก่ความร่วมมือของคุณอย่างไม่เห็นแก่ตัว#สับ #หมวกสีขาว #อนุญาโตตุลาการ $โลด #เอาเปรียบ #เดฟี่ https://t.co/SWlCr3KMib
— การเงิน Lodestar (,) (@LodestarFinance) December 10, 2022
ช่องโหว่หลักที่นำไปสู่การโจมตีนั้นอยู่ภายใน GLPOracle และวิธีการดำเนินการราคาของมัน ในการวิเคราะห์ ทีมตรวจสอบของ Solidity Finance กล่าวว่างานดังกล่าวเน้นว่า “การใช้ออราเคิลที่ทนทานต่อการจัดการเป็นส่วนสำคัญอย่างยิ่งของ DeFi โดยเฉพาะอย่างยิ่งในโปรโตคอลที่ให้สินทรัพย์ของผู้ใช้ยืม”
ในแถลงการณ์ ผู้รวบรวมการกำกับดูแล PlutusDAO เด่น ว่า “ผลิตภัณฑ์และแพลตฟอร์มทำงานได้ตรงตามที่ตั้งใจไว้ตลอดทั้งงาน เงินทั้งหมดใน Plutus นั้นปลอดภัยอย่างสมบูรณ์ การใช้ประโยชน์เป็นเพียงผลจากการใช้ oracle ของ Lodestar” นอกจากนี้ยังระบุ:
“เราต้องการรับผิดชอบในการส่งเสริมโปรโตคอลที่ไม่ผ่านการตรวจสอบ แม้ว่าการแสวงหาประโยชน์จะไม่ใช่ความผิดของ Plutus แต่เราตระหนักดีถึงความจริงที่ว่าเรากระตือรือร้นเกินไปที่จะส่งเสริมโปรโตคอลที่ผสานรวม plvGLP เมื่อ plvGLP ได้รับแรงผลักดันอย่างมาก เราจึงต้องการเน้นการผสานรวม plvGLP ทั้งหมดในชุมชนของเราเพื่อเน้นย้ำถึงการนำไปใช้และโอกาสที่การผสานรวมได้นำเสนอทั้งต่อผู้ใช้แต่ละคนและโปรโตคอล ทางเราต้องขออภัยมา ณ ที่นี้ เรากระโดดปืนและต่อจากนี้ไปเราจะไม่ส่งเสริมโปรโตคอลที่ไม่ได้รับการตรวจสอบอีกต่อไป”
การโจมตีของ Lodestar นั้นคล้ายกับการโจมตีของ Mango Markets เมื่อวันที่ 11 ต.ค กว่า 100 ล้านเหรียญถูกขโมย ผ่านทางผู้โจมตีที่จัดการกับข้อมูลออราเคิลด้านราคา ทำให้แฮ็กเกอร์สามารถนำเงินกู้ cryptocurrency ที่อยู่ภายใต้หลักประกันได้
ที่มา: https://cointelegraph.com/news/lodestar-finance-exploited-in-flash-loan-attack