Lodestar Finance, platforma za pozajmljivanje izgrađena na drugom sloju Arbitrum tehnologije, suočila se s kršenjem sigurnosti koje je rezultiralo gubitkom od 6,9 milijuna dolara. Napad na platformu brzih zajmova Lodestar Finance dogodio se 10. prosinca, a prema informacijama koje je objavio napadač je napuhao vrijednost plvGLP tokena te njime posudio cjelokupnu raspoloživu likvidnost platforme.
Kako je mehanizam omjera kolateralizacije spriječio punu likvidaciju plvGLP-a, napadač je kolateralizirao plvGLP Lodestaru i posudio svu preostalu likvidnost, a razvojni tim je izvijestio da ih je “mehanizam omjera kolateralizacije spriječio da u potpunosti isplate plvGLP.”
If you are the hacker, reach out to us so we can find a white-hat agreement and move on.
Recovering the funds of our users is the main priority and we will generously reward your collaboration.#Hack #whitehat #Arbitrum $LODE #Exploit #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (,) (@LodestarFinance) December 10, 2022
Kako je došlo do hakiranja?
Lodestar je 11. prosinca na Twitteru objavio detalje napada. Prema njihovim tvrdnjama, napadač je prvo manipulirao tečajem plvGLP ugovora na 1,83 GLP za svaki plvGLP, “eksploatacija koja sama po sebi ne bi bila neprofitabilna”. Napadač je zaradio blizu 6,9 milijuna dolara, a korisnicima ostavio hrpu nenaplativih dugova.
The attacker made close to $6.9 million in profits and left users with a pile of bad debt.
According to a post-mortem analysis provided by CertiK of the $5.8 million Lodestar Finance exploit that occurred on Dec. 10.#hacker #mangomarket #crypto #profit #finance pic.twitter.com/wR6qU4rloX— Cryptonairz (@cryptonairz) December 12, 2022
Lodestar je kasnije izjavio da je povratio kontrolu nad približno 2,8 milijuna GLP-ova (vrijednih 2,4 milijuna dolara u to vrijeme) koji će biti vraćeni pogođenim kupcima. Tim se pokušao uz DeBank-ovo posredovanje dogovoriti s hakerima oko nagrade za bug i povrata ukradenog novca, a hakerima su ostavili i kontakt adresu.
Ovaj sigurnosni proboj podsjeća na onaj koji se dogodio u Mango Marketsu u listopadu, kada su prevaranti dobili pristup projektu kako bi izvukli novac manipulirajući tržištem, uzrokujući do 114 milijuna dolara štete.
Napadi na Flash Loan
Napad je izveden zlouporabom kratkoročnih kredita. Brza pozajmica je način posuđivanja kriptovaluta i brzog vraćanja (uz isitm potpis). Napad je koristio pametne ugovore za konstruiranje transakcija koje postižu brzu arbitražu, a napadači su dobili velike količine plvGLP kolaterala putem brzih zajmova i brzo promijenili cijenu pumpanjem GLP-a u plvGLP ugovore.
1. An attacker manipulated the exchange rate of the plvGLP contract to 1.83 GLP per plvGLP, an exploit that by itself would be unprofitable.
2. They supplied plvGLP collateral to lodestar and borrowed all available liquidity.— Lodestar Finance (,) (@LodestarFinance) December 10, 2022
Nastavili su ovaj proces, posuđujući više novca nego što su trebali moći utječući na cijene plvGLP oraclea. Oracleova ranjivost, prema Lodestarovom timu, zahtijevala je njegov potpuni redizajn. Kako bi se izbjegle buduće zlouporabe, trebalo bi biti nemoguće promijeniti cijenu unutar istog bloka.
LOGE gubi vrijednost
Članovi tima Lodestar objavili su putem svog Discord kanala svoju namjeru da prestanu s operacijama pozajmljivanja i likvidacije. Prema podacima s defillama.com, ukupna zaključana vrijednost (TVL) u Lodestaru pala je s oko 7 milijuna dolara na samo 11,06 dolara.
Matična kriptovaluta projekta, Lodestar (LODE), izgubila je 12,0% svoje vrijednosti u odnosu na dolar u posljednja 24 sata. Trenutna vrijednost LODE kovanice je 0,153906 USD. LODE je 23. studenoga dosegao ATH od 0,718 USD po koiju, a najnižu vrijednost dosegao je nakon najave napada 11. prosinca od 0,130323 USD
Dash 2 Trade - Sljedeća 100x kriptovaluta
- Rani pristup pretprodaji uživo odmah
- Pokreće ekosustav kripto analitike
- Čvrsta revizija dokaza, CoinSniper KYC provjeren
- Trgovačka zajednica od 70.000+ članova