Lodestar Finance - REKT
Lodestar Finance, un fork de Compound en Arbitrum, es la última víctima de la manipulación del mercado masivo que ha afectado tanto a las personas, como a los protocolos en toda nuestra industria.
El sábado, se manipuló el oracle de precios del collateral de plvGLP, lo que permitió al attacker agotar sus lending pools para obtener una ganancia de ~$6.5M.
Según el comunicado oficial, “2,8 millones de GLP son recuperables, lo que equivale a unos $2,4 millones. El equipo ha pedido al hacker que negocie un whitehat reward.
El incidente hizo que el token LODE sufriera un dump de ~70% y TVL cayera a solo $11.
Ese es el puesto 77 en la leaderboard para Lodestar Finance.
Entre los collateral assets de Lodestar se encuentra el plvGLP con yield-bearing, que representa el GLP encerrado en la vault de Plutus DAO. Utilizando flash loan, el atacante manipuló el precio plvGLP informado por el contrato GLPOracle de Lodestar, lo que les permitió realizar un "borrow" de todos los fondos suministrados en la plataforma.
Los documentos de Lodestar afirman que:
confiamos en Chainlink Oracles para obtener precios precisos (con la excepción de plvGLP)
Una nota de invitación para cualquier posible exploiter ...
Solidity Finance resumió la causa raíz:
El GLPOracle no tuvo en cuenta correctamente el impacto de un usuario que realiza una call _ a la funcion_ donate() en el contrato GlpDepositor, lo que infla los activos del contrato GlpDepositor y, por lo tanto, el precio entregado por el Oracle del token plvGLP.
La autopsia preliminar de Lodestar brinda más detalles sobre el exploit, además de señalar que “no se puede permitir que el oracle sufra cambios instantáneos dentro del mismo block.”
El informe de Certik contiene un paso a paso completo del flujo de ataque.
Dirección del atacante: 0xc29d94386ff784006ff8461c170d1953cc9e2b5c
Ejemplo de exploit tx: 0xc523c630…
Los 343 ETH ($430k) necesarios para el attack fueron transferidos desde Polygon hace tres meses. Después del exploit, los fondos fueron swapped a ETH, se transfirieron de nuevo a la mainnet y se dispersaron en varias direcciones.
Manipular el precio del collateral ha sido una técnica de ataque popular desde el comienzo de DeFi, pero especialmente en los últimos tiempos, ya que este incidente sigue a los ataques a Mango y Moola Markets, que perdieron $ 115 millones y $ 8,4 millones respectivamente, en octubre.
En los ejemplos anteriores, los fondos se devolvieron parcial o totalmente, lo que garantiza que los usuarios no pierdan por completo. Sin embargo, han pasado dos días desde el attack inicial a Lodestar, y aún no se ha mencionado ninguna reparación planificada.
Hacer un fork de un proyecto existente, incluso protocolos duraderos y resistentes, no garantiza la misma seguridad.
Pero este párrafo en la documentación de Lodestar sugiere que es posible que no se hayan dado cuenta como tal…
Lodestar es un fork de Compound en el núcleo, y Compound tiene algunos de los contratos más probados en batalla en todo DeFi. Hemos agregado códigos para admitir algunos cambios que hemos realizado, a saber, agregar compatibilidad con Arbitrum, compatibilidad con DPX, MAGIC y plvGLP, ajustar algunos modelos de interés y algunos otros cambios pequeños.
El tiempo es la mejor auditoría de seguridad de todas, pero los cambios en los smart contracts hacen que incluso los protocolos más probados se abran a nuevas vulnerabilidades.
Otro mercado manipulado, más millones extraviados, y los manipuladores del mercado siguen adelante...
REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.
dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
aviso legal:
REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.
te podría gustar...
Tapioca DAO - Rekt
Otro día, otro robo de clave privada, otro protocolo rekt. Tapioca DAO en Arbitrum sufre una pérdida de aproximadamente $4.4 millones debido al compromiso de una clave privada. Se han recuperado algunos fondos, aunque el alcance total del daño aún está por verse.
Radiant Capital - Rekt II
Radiant Capital sufre un recorte de $53 millones. ¿Pensabas que los multi-sigs eran seguros? Piénsalo otra vez. La "robusta" configuración 3/11 de Radiant se desplomó como un castillo de naipes. Exploited dos veces en 2024, el futuro de Radiant parece tan brillante como un agujero negro.
Sobreviviendo al Peligro Digital
¿Crees que has dominado el campo minado cripto? Piensa de nuevo. Sobreviviendo al Peligro Digital - La guía rekt para convertir la paranoia en una forma de arte. Es hora de mejorar tus habilidades de supervivencia en cripto.