Le protocole de prêt basé sur l’arbitrage Lodestar Finance a été exploité lors d’une attaque de prêt flash le 10 décembre. Selon Lodestar, l’attaquant a manipulé le prix du jeton plvGLP avant d’emprunter toutes les liquidités de la plate-forme à l’aide du jeton gonflé.
Dans un fil Twitter, Lodestar expliqué le flux d’attaque. L’attaquant a d’abord manipulé le taux de change du contrat plvGLP à 1,83 GLP par plvGLP, « un exploit qui en soi ne serait pas rentable », a déclaré la société.
Ensuite, l’attaquant a fourni une garantie plvGLP à Lodestar et a emprunté toutes les liquidités disponibles, encaissant une partie des fonds « jusqu’à ce que le mécanisme de ratio de garantie empêche une liquidation complète de la plvGLP ».
Suite au piratage, « plusieurs détenteurs de plvGLP ont également profité de l’occasion et ont également encaissé à 1,83 glp par plvGLP ». Le pirate a pu brûler un peu plus de 3 millions de GLP, réalisant des bénéfices sur les « fonds volés sur Lodestar – moins le GLP qu’ils ont brûlé », a noté la plateforme DeFi.
L’attaquant a réalisé un bénéfice d’environ 5,8 millions de dollars. Lodestar déclare que près de 2,8 millions du GLP (environ 2,4 millions de dollars) étaient récupérables, ce qui devrait être utilisé pour rembourser les déposants. L’entreprise tente de négocier une prime de bogue avec son exploiteur :
Si vous êtes le pirate informatique, contactez-nous afin que nous puissions trouver un accord de chapeau blanc et passer à autre chose.
Récupérer les fonds de nos utilisateurs est la principale priorité et nous récompenserons généreusement votre collaboration.#Pirater #chapeau blanc #Arbitrum $LODE #Exploiter #DÉFI https://t.co/SWlCr3KMib
— Lodestar Finance (,) (@LodestarFinance) 10 décembre 2022
La principale vulnérabilité qui a conduit à l’attaque se trouve à l’intérieur de GLPOracle et de la manière dont il gère son prix. Dans une analyse, l’équipe d’audit de Solidity Finance a déclaré que l’événement a mis en évidence « que l’utilisation d’oracles résistants à la manipulation est un élément extrêmement important de DeFi, en particulier dans les protocoles qui prêtent des actifs aux utilisateurs ».
Dans un communiqué, l’agrégateur de gouvernance PlutusDAO c’est noté que ses « produits et plateforme ont fonctionné exactement comme prévu tout au long de l’événement. Tous les fonds sur Plutus sont totalement sûrs. L’exploit était uniquement le résultat de la mise en œuvre de l’oracle de Lodestar. » Il a également déclaré:
« Nous voulons assumer la responsabilité de la promotion d’un protocole non audité. Bien que l’exploit ne soit en aucun cas la faute de Plutus, nous reconnaissons le fait que nous étions trop désireux de promouvoir un protocole intégrant plvGLP. Avec plvGLP qui gagne du terrain, nous avons voulu mettre en évidence toutes les intégrations plvGLP à notre communauté pour souligner l’adoption et les opportunités que les intégrations ont présentées à la fois aux utilisateurs individuels et aux protocoles. Pour cela, nous nous excusons. Nous avons sauté le pas, et à l’avenir, nous ne ferons plus la promotion de protocoles qui ne sont pas audités. «
L’attaque Lodestar était similaire à l’exploit Mango Markets du 11 octobre, lorsque plus de 100 millions de dollars ont été volés par un attaquant manipulant les données oracle des prix, permettant aux pirates de contracter des prêts de crypto-monnaie sous-garantis.