آسیب‌پذیری اصلی این حمله در پیش‌گویی GLP و نحوه اجرای قیمت آن بود.

پروتکل وام مبتنی بر آربیتروم Lodestar Finance در یک حمله وام در دسامبر مورد سوء استفاده قرار گرفت. به گفته Lodestar، مهاجم قیمت توکن plvGLP را قبل از قرض گرفتن تمام نقدینگی پلتفرم با استفاده از توکن متورم دستکاری کرده است.

در یک تاپیک توییتری، Lodestar اعلام کرد جریان حمله این شرکت گفت که مهاجم ابتدا نرخ مبادله قرارداد plvGLP را به 1.83 GLP در هر plvGLP دستکاری کرده است، سوء استفاده ای که به خودی خود “بی سود” خواهد بود.

مهاجم سپس وثیقه plvGLP را به Lodestar ارائه کرد و تمام نقدینگی موجود را قرض گرفت و برخی از وجوه را نقد کرد “تا زمانی که مکانیسم نرخ حاشیه مانع از انحلال کامل plvGLP شود”.

پس از هک، “چند دارنده plvGLP نیز از این فرصت استفاده کردند و همچنین با 1.83 glp در هر plvGLP درآمد کسب کردند.” پلتفرم DeFi اشاره کرد که هکر کمی بیش از 3 میلیون در GLP سوزاند و توانست “از وجوه دزدیده شده در Lodestar – بدون در نظر گرفتن GLP که سوزانده بودند” سود به دست آورد.

مهاجم حدود 5.8 میلیون دلار سود کسب کرد. Lodestar بیان می کند که تقریباً 2.8 میلیون (حدود 2.4 میلیون دلار) GLP قابل بازیافت است و باید برای بازپرداخت سپرده گذاران استفاده شود. این شرکت در تلاش است تا با بهره‌بردار خود درباره جایزه باگ مذاکره کند:

اگر هکر هستید، با ما تماس بگیرید تا بتوانیم یک معامله کلاه سفید پیدا کنیم و در راه باشیم.

بازیابی وجوه کاربران ما اولویت اصلی است و ما به همکاری شما سخاوتمندانه پاداش خواهیم داد.#تقلب #کلاه سفید #داوری $LODE #استفاده کنید #DEFI https://t.co/SWlCr3KMib

— Lodestar Finance (،) (@LodestarFinance) 10 دسامبر 2022

آسیب پذیری اصلی منجر به حمله در داخل GLPOracle و نحوه اجرای قیمت آن است. در تحلیلی، تیم حسابرسی سالیدیتی فاینانس گفت که این حادثه نشان می‌دهد که «استفاده از اوراکل‌های مقاوم در برابر دستکاری بخش مهمی از DeFi است، به‌ویژه در پروتکل‌هایی که دارایی‌های کاربر را وام می‌دهند».

تجمیع کننده حکومت PlutusDAO در بیانیه ای گفت که “محصولات و پلتفرم آن دقیقاً همانطور که در طول رویداد مورد نظر بوده کار می کنند. تمام سرمایه های موجود در Plutus کاملاً ایمن هستند. این سوء استفاده صرفاً نتیجه تمرین اوراکل Lodestar است.” وی همچنین بیان کرد:

“ما می خواهیم مسئولیت ترویج یک پروتکل تعدیل نشده را بپذیریم. در حالی که سوء استفاده به هیچ وجه تقصیر Plutus نیست، ما می دانیم که ما بسیار مشتاقیم پروتکلی را ترویج کنیم که plvGLP را یکپارچه کند. همه ادغام های plvGLP برای برجسته کردن پذیرش و فرصت هایی که ادغام ها ارائه می دهند. هم به کاربران و هم به پروتکل‌ها. به جامعه ما تاکید کنید. ما از این بابت پوزش می‌خواهیم. ما دست به کار شده‌ایم و دیگر پروتکل‌های کنترل نشده را تبلیغ نمی‌کنیم.”

حمله Lodestar مشابه سوء استفاده 11 اکتبر توسط Mango Markets بود که در آن بیش از 100 میلیون دلار توسط مهاجمی که داده‌های پیش‌بینی قیمت را دستکاری می‌کرد به سرقت رفت و به هکرها اجازه می‌داد وام‌های ارز دیجیتال تحت وثیقه دریافت کنند.

نویسنده: Ana Paula Pereira