آسیبپذیری اصلی این حمله در پیشگویی GLP و نحوه اجرای قیمت آن بود.
پروتکل وام مبتنی بر آربیتروم Lodestar Finance در یک حمله وام در دسامبر مورد سوء استفاده قرار گرفت. به گفته Lodestar، مهاجم قیمت توکن plvGLP را قبل از قرض گرفتن تمام نقدینگی پلتفرم با استفاده از توکن متورم دستکاری کرده است.
در یک تاپیک توییتری، Lodestar اعلام کرد جریان حمله این شرکت گفت که مهاجم ابتدا نرخ مبادله قرارداد plvGLP را به 1.83 GLP در هر plvGLP دستکاری کرده است، سوء استفاده ای که به خودی خود “بی سود” خواهد بود.
مهاجم سپس وثیقه plvGLP را به Lodestar ارائه کرد و تمام نقدینگی موجود را قرض گرفت و برخی از وجوه را نقد کرد “تا زمانی که مکانیسم نرخ حاشیه مانع از انحلال کامل plvGLP شود”.
پس از هک، “چند دارنده plvGLP نیز از این فرصت استفاده کردند و همچنین با 1.83 glp در هر plvGLP درآمد کسب کردند.” پلتفرم DeFi اشاره کرد که هکر کمی بیش از 3 میلیون در GLP سوزاند و توانست “از وجوه دزدیده شده در Lodestar – بدون در نظر گرفتن GLP که سوزانده بودند” سود به دست آورد.
مهاجم حدود 5.8 میلیون دلار سود کسب کرد. Lodestar بیان می کند که تقریباً 2.8 میلیون (حدود 2.4 میلیون دلار) GLP قابل بازیافت است و باید برای بازپرداخت سپرده گذاران استفاده شود. این شرکت در تلاش است تا با بهرهبردار خود درباره جایزه باگ مذاکره کند:
اگر هکر هستید، با ما تماس بگیرید تا بتوانیم یک معامله کلاه سفید پیدا کنیم و در راه باشیم.
بازیابی وجوه کاربران ما اولویت اصلی است و ما به همکاری شما سخاوتمندانه پاداش خواهیم داد.#تقلب #کلاه سفید #داوری $LODE #استفاده کنید #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (،) (@LodestarFinance) 10 دسامبر 2022
آسیب پذیری اصلی منجر به حمله در داخل GLPOracle و نحوه اجرای قیمت آن است. در تحلیلی، تیم حسابرسی سالیدیتی فاینانس گفت که این حادثه نشان میدهد که «استفاده از اوراکلهای مقاوم در برابر دستکاری بخش مهمی از DeFi است، بهویژه در پروتکلهایی که داراییهای کاربر را وام میدهند».
تجمیع کننده حکومت PlutusDAO در بیانیه ای گفت که “محصولات و پلتفرم آن دقیقاً همانطور که در طول رویداد مورد نظر بوده کار می کنند. تمام سرمایه های موجود در Plutus کاملاً ایمن هستند. این سوء استفاده صرفاً نتیجه تمرین اوراکل Lodestar است.” وی همچنین بیان کرد:
“ما می خواهیم مسئولیت ترویج یک پروتکل تعدیل نشده را بپذیریم. در حالی که سوء استفاده به هیچ وجه تقصیر Plutus نیست، ما می دانیم که ما بسیار مشتاقیم پروتکلی را ترویج کنیم که plvGLP را یکپارچه کند. همه ادغام های plvGLP برای برجسته کردن پذیرش و فرصت هایی که ادغام ها ارائه می دهند. هم به کاربران و هم به پروتکلها. به جامعه ما تاکید کنید. ما از این بابت پوزش میخواهیم. ما دست به کار شدهایم و دیگر پروتکلهای کنترل نشده را تبلیغ نمیکنیم.”
حمله Lodestar مشابه سوء استفاده 11 اکتبر توسط Mango Markets بود که در آن بیش از 100 میلیون دلار توسط مهاجمی که دادههای پیشبینی قیمت را دستکاری میکرد به سرقت رفت و به هکرها اجازه میداد وامهای ارز دیجیتال تحت وثیقه دریافت کنند.
نویسنده: Ana Paula Pereira
