Bagikan:

JAKARTA - Protokol peminjaman berbasis arbitrase, Lodestar Finance, dieksploitasi dalam serangan flash loan pada 10 Desember. Menurut Lodestar, penyerang memanipulasi harga token plvGLP PlutusDAO sebelum meminjam semua likuiditas platform menggunakan token yang digelembungkan.

Di utas Twitter, Lodestar menjelaskan alur serangan. Penyerang pertama-tama memanipulasi nilai tukar kontrak plvGLP menjadi 1,83 GLP per plvGLP. "eksploitasi INI yang dengan sendirinya tidak menguntungkan", kata perusahaan itu, seperti dikutip Cointelegraph.

Kemudian, penyerang memasok agunan plvGLP ke Lodestar dan meminjam semua likuiditas yang tersedia, mencairkan sebagian dana "sampai mekanisme rasio agunan mencegah likuidasi penuh plvGLP."

Setelah peretasan, "beberapa pemegang plvGLP juga memanfaatkan peluang ini dan juga menguangkan 1,83 glp per plvGLP." Peretas mampu membakar lebih dari 3 juta GLP, yang menghasilkan keuntungan dari "dana curian di Lodestar - dikurangi GLP yang mereka bakar.", tulis platform DeFi.

Penyerang mendapat untung sekitar 5,8 juta dolar AS (Rp 90,5 miliar). Lodestar menyatakan bahwa hampir 2,8 juta GLP (sekitar 2,4 juta dolar AS) dapat diperoleh kembali, yang seharusnya digunakan untuk membayar para deposan. Perusahaan sedang mencoba menegosiasikan hadiah bug dengan pengeksploitasinya.

Kerentanan utama yang menyebabkan serangan itu ada di dalam oracle yang diimplementasikan Lodestar untuk mengetahui harga plvGLP. Dalam sebuah analisis, tim audit Solidity Finance mengatakan acara tersebut menyoroti "bahwa memanfaatkan oracle yang tahan terhadap manipulasi adalah bagian DeFi yang sangat penting, terutama dalam protokol yang meminjamkan aset pengguna."

Dalam sebuah pernyataan, agregator tata kelola PlutusDAO mencatat bahwa "produk dan platformnya berfungsi persis seperti yang dimaksudkan di seluruh acara. Semua dana di Plutus benar-benar aman. Eksploitasi tersebut semata-mata merupakan hasil dari implementasi oracle Lodestar."

"Kami ingin mengambil tanggung jawab untuk mempromosikan protokol yang tidak diaudit. Meskipun eksploit sama sekali bukan kesalahan Plutus, kami menyadari fakta bahwa kami terlalu bersemangat untuk mempromosikan protokol yang mengintegrasikan plvGLP. Dengan plvGLP mendapatkan daya tarik yang signifikan, kami ingin soroti semua integrasi plvGLP ke komunitas kami untuk menekankan adopsi dan peluang yang telah disajikan oleh integrasi baik untuk pengguna individu maupun protokol. Untuk ini, kami mohon maaf. Kami langsung bertindak, dan ke depannya, kami tidak akan lagi mempromosikan protokol yang tidak diaudit, " kata jubir PlutusDAO, dikutip Cointelegraph

Serangan Lodestar mirip dengan eksploitasi Mango Markets pada 11 Oktober, ketika lebih dari 100 juta dolar AS dicuri melalui penyerang yang memanipulasi data harga oracle, yang memungkinkan peretas untuk mengambil pinjaman cryptocurrency tanpa jaminan.