Lodestar Finance در حمله وام فلش استفاده می شود

آسیب پذیری اصلی در پشت این حمله در نحوه اجرای اوراکل های GLP و قیمت آنها بود.

پروتکل وام‌دهی مبتنی بر آربیتروم Lodestar Finance در حمله وام فلش ۱۰ دسامبر مورد سوء استفاده قرار گرفت. به گفته Lodestar، مهاجمان قیمت توکن plvGLP را قبل از استفاده از توکن بادشده برای وام گرفتن نقدینگی از همه پلتفرم‌ها دستکاری کردند.

Lodestar در یک موضوع توییتر توضیح داد جریان حمله مهاجمان ابتدا نرخ مبادله قرارداد plvGLP را به ۱.۸۳ GLP در هر plvGLP دستکاری کردند.

مهاجمان سپس وثیقه plvGLP را در اختیار Lodestar قرار دادند و تمام نقدینگی موجود را برای نقد کردن برخی از وجوه قرض گرفتند «تا زمانی که مکانیسم نرخ وثیقه از انحلال کامل plvGLP جلوگیری کند».

پلتفرم DeFi خاطرنشان می کند که پس از هک، “چند دارنده plvGLP نیز از این فرصت استفاده کردند و ۱.۸۳ glp در هر plvGLP را نقد کردند.”

مهاجمان تقریباً ۵.۸ میلیون دلار سود داشتند. Lodestar می گوید حدود ۲.۸ میلیون دلار (حدود ۲.۴ میلیون دلار) از GLP قابل بازیابی است و باید برای بازپرداخت سپرده گذاران استفاده شود. این شرکت در تلاش است تا با سوء استفاده کنندگان در مورد پاداش های باگ مذاکره کند.

اگر شما یک هکر هستید، لطفا با ما تماس بگیرید تا بتوانیم یک قرارداد کلاه سفید پیدا کنیم و ادامه دهیم.

جمع آوری وجوه کاربران اولویت اصلی ماست و به همکاری شما سخاوتمندانه پاداش خواهیم داد.#هک #کلاه سفید #آربیتروم $LODE # بهره برداری #DEFI https://t.co/SWlCr3KMib

— Lodestar Finance (،) (@LodestarFinance) ۱۰ دسامبر ۲۰۲۲

آسیب‌پذیری اصلی که منجر به حمله شد، قسمت‌های داخلی GLPOracle و نحوه قیمت‌گذاری آن بود. تیم حسابرسی Solidity Finance در تجزیه و تحلیل خود تأکید کرد که این رویداد “استفاده از اوراکل های مقاوم در برابر دستکاری را به یکی از اجزای مهم DeFi، به ویژه در پروتکل هایی که دارایی های کاربر وام می دهند، تبدیل کرده است.”

در بیانیه ای، PlutusDAO تجمیع کننده حاکمیتی گفت: “محصول و پلتفرم آن دقیقاً همانطور که در طول رویداد مورد نظر بود عمل کرد. تمام سرمایه های Plutus کاملاً ایمن هستند. این نتیجه حاصل از او همچنین گفت:

“ما می خواهیم مسئولیت ترویج یک پروتکل حسابرسی نشده را بر عهده بگیریم. در حالی که سوء استفاده هرگز تقصیر پلوتوس نبود، ما این واقعیت را درک می کنیم که آنها بسیار مشتاق بودند پروتکلی را که plvGLP را یکپارچه می کند تبلیغ کنند. از آنجایی که plvGLP در حال افزایش است، ما همه plvGLP را برجسته می کنیم. ادغام با جامعه ما برای برجسته کردن پذیرش و فرصت‌هایی که ادغام‌ها هم برای کاربران و هم برای پروتکل‌ها ارائه کرده‌اند. ها، من عذرخواهی می‌کنم. ما سلاح‌هایمان را به پرواز در آوردیم.”

حمله Lodestar شبیه بهره برداری Mango Markets در ۱۱ اکتبر بود. در این حمله، بیش از ۱۰۰ میلیون دلار توسط مهاجمانی که داده‌های اوراکل قیمت را دستکاری می‌کردند به سرقت رفت و به هکرها اجازه داد از وام‌های ارزهای دیجیتال بدون امنیت استفاده کنند.

نویسنده: Ana Paula Pereira