Lodestar Finance，受到闪贷攻击，plvGLP代币价格操纵攻击者

雅加达 - 基于仲裁的贷款协议Lodestar Finance在12月10日的闪电贷款攻击中被利用。根据Lodestar的说法，攻击者在使用膨胀的代币借入平台的所有流动性之前操纵PlutusDAO plvGLP代币价格。

在Twitter帖子中，Lodestar解释了攻击的流程。攻击者首先将plvGLP合约汇率操纵为每plvGLP1.83 GLP。“利用INI本身是无利可图的”，该公司表示，正如Cointelegraph所引用的那样。

然后，攻击者向Lodestar提供plvGLP抵押品并借入所有可用的流动性，支付部分资金“直到抵押比率机制阻止plvGLP完全清算”。

如果您是黑客，请与我们联系，以便我们找到白帽协议并继续前进。收回用户的资金是重中之重，我们将慷慨奖励您的合作#Hack #whitehat #Arbitrum $LODE #Exploit #DEFI https://t.co/SWlCr3KMib

— 罗德斯达金融 （，） （ 💙 @LodestarFinance） 2022 年 12 月 10 🧡 日

黑客攻击后，“一些plvGLP持有者也抓住了这个机会，每PLVGLP兑现了1.83 glp。DeFi平台写道，黑客能够烧毁超过300万个GLP，从“Lodestar的被盗资金 - 减去他们烧毁的GLP”中获利。

攻击者获利约580万美元（905亿盾）。Lodestar表示，可以收回近280万GLP（约合240万美元），这些钱本应用于支付储户。该公司正试图与其利用者协商漏洞奖励。

导致攻击的主要漏洞位于Lodestar为找出plvGLP价格而实施的预言机中。在一项分析中，Solidity Finance的审计团队表示，该事件强调“利用抗操纵的预言机是DeFi的一个非常重要的部分，特别是在借出用户资产的协议中。

治理聚合商PlutusDAO在一份声明中指出，“其产品和平台在各个事件中完全按照预期运行。普鲁图斯的所有资金都是绝对安全的。该漏洞完全是实施Lodestar预言机的结果。

“我们希望承担起推广未经审计的协议的责任。虽然漏洞利用绝不是Plutus的错，但我们意识到我们太急于推广集成plvGLP的协议。随着 plvGLP 获得显着的牵引力，我们希望向我们的社区强调所有 plvGLP 集成，以强调集成为个人用户和协议提供的采用和机会。对此，我们深表歉意。我们立即采取行动，展望未来，我们将不再推广未经审计的协议，“Cointelegraph援引jubir PlutusDAO的话说。

Lodestar攻击类似于Mango Markets在10月11日的漏洞利用，当时超过1亿美元纵甲骨文价格数据的攻击者窃取，允许黑客获得无担保的加密货币贷款。