ロードスターファイナンス, フラッシュローン攻撃に見舞われた, PlvGLPトークン価格操作攻撃者
ジャカルタ-仲裁ベースの融資プロトコルであるLodestar Financeは、12月10日のフラッシュローン攻撃で悪用されました。Lodestarによると、攻撃者は、膨らんだトークンを使用してプラットフォームのすべての流動性を借りる前に、PlutusDAO plvGLPトークンの価格を操作します。
Twitterのスレッドで、Lodestarは攻撃の流れを説明しました。攻撃者は最初にplvGLP契約の為替レートをplvGLPあたり1.83GLPに操作しました。「それ自体が不採算であるINIの搾取」と、コインテレグラフが引用したように、同社は述べた。
次に、攻撃者はplvGLP担保をLodestarに供給し、利用可能なすべての流動性を借りて、「担保比率メカニズムがplvGLPの完全な清算を妨げるまで」資金の一部を支払います。
あなたがハッカーである場合は、ホワイトハットの合意を見つけて先に進むことができるように、私たちに連絡してください。ユーザーの資金を回収することが最優先事項であり、私たちはあなたのコラボレーションに寛大に報います#Hack #whitehat #Arbitrum $LODE #Exploit #DEFI https://t.co/SWlCr3KMib
— ロードスターファイナンス (,) ( 💙 @LodestarFinance) 2022 🧡年12月10日
ハッキング後、「一部のplvGLP保有者もこの機会をつかみ、plvGLPあたり1.83 glpをキャッシュアウトしました。」ハッカーは300万以上のGLPを燃やすことができ、「Lodestarで盗まれた資金から、燃やしたGLPを差し引いたもの」から利益を上げたとDeFiプラットフォームは書いています。
攻撃者は約580万米ドル(905億ルピア)の利益を上げました。Lodestarは、約280万GLP(約240万米ドル)を回収することができ、これは預金者への支払いに使用されるべきだったと述べた。同社は、搾取者とバグ報酬を交渉しようとしています。
攻撃を引き起こした主な脆弱性は、LodestarがplvGLPの価格を調べるために実装したオラクル内にありました。分析の中で、Solidity Financeの監査チームは、このイベントが「操作に耐性のあるオラクルを活用することは、特にユーザー資産を貸すプロトコルにおいて、DeFiの非常に重要な部分である」ことを浮き彫りにしたと述べました。
ガバナンスアグリゲーターのPlutusDAOは声明で、「同社の製品とプラットフォームは、イベント間で意図したとおりに機能します。Plutusのすべての資金は絶対に安全です。このエクスプロイトは、ロードスターオラクルの実装の結果にすぎません。」
「私たちは、監査されていないプロトコルを促進する責任を持ちたいと考えています。エクスプロイトは決してPlutusのせいではありませんが、plvGLPを統合するプロトコルを宣伝することに熱心すぎるという事実を認識しています。plvGLPが大きな牽引力を獲得しているため、すべてのplvGLP統合をコミュニティに強調し、統合が個々のユーザーとプロトコルの両方にもたらした採用と機会を強調したいと思います。これについては、お詫び申し上げます。私たちはすぐに行動し、今後は監査されていないプロトコルを促進しません」と、コインテレグラフが引用したjubir PlutusDAOは述べています。
Lodestar攻撃は、オラクルの価格データを操作した攻撃者を通じて1億米ドル以上が盗まれ、ハッカーが無担保の暗号通貨ローンを借りられるようにした10月11日のMango Marketsのエクスプロイトに似ています。