Lodestar Finance - REKT

Lodestar Finance - REKT

lee este artículo en:

en - es - ru - tr - zh

Lodestar Finance, un fork de Compound en Arbitrum, es la última víctima de la manipulación del mercado masivo que ha afectado tanto a las personas, como a los protocolos en toda nuestra industria.

El sábado, se manipuló el oracle de precios del collateral de plvGLP, lo que permitió al attacker agotar sus lending pools para obtener una ganancia de ~$6.5M.

Según el comunicado oficial, “2,8 millones de GLP son recuperables, lo que equivale a unos $2,4 millones. El equipo ha pedido al hacker que negocie un whitehat reward.

El incidente hizo que el token LODE sufriera un dump de ~70% y TVL cayera a solo $11.

Ese es el puesto 77 en la leaderboard para Lodestar Finance.

Entre los collateral assets de Lodestar se encuentra el plvGLP con yield-bearing, que representa el GLP encerrado en la vault de Plutus DAO. Utilizando flash loan, el atacante manipuló el precio plvGLP informado por el contrato GLPOracle de Lodestar, lo que les permitió realizar un "borrow" de todos los fondos suministrados en la plataforma.

Los documentos de Lodestar afirman que:

confiamos en Chainlink Oracles para obtener precios precisos (con la excepción de plvGLP)

Una nota de invitación para cualquier posible exploiter ...

Solidity Finance resumió la causa raíz:

El GLPOracle no tuvo en cuenta correctamente el impacto de un usuario que realiza una call _ a la funcion_ donate() en el contrato GlpDepositor, lo que infla los activos del contrato GlpDepositor y, por lo tanto, el precio entregado por el Oracle del token plvGLP.

La autopsia preliminar de Lodestar brinda más detalles sobre el exploit, además de señalar que “no se puede permitir que el oracle sufra cambios instantáneos dentro del mismo block.”

El informe de Certik contiene un paso a paso completo del flujo de ataque.

Dirección del atacante: 0xc29d94386ff784006ff8461c170d1953cc9e2b5c

Ejemplo de exploit tx: 0xc523c630…

Los 343 ETH ($430k) necesarios para el attack fueron transferidos desde Polygon hace tres meses. Después del exploit, los fondos fueron swapped a ETH, se transfirieron de nuevo a la mainnet y se dispersaron en varias direcciones.

Manipular el precio del collateral ha sido una técnica de ataque popular desde el comienzo de DeFi, pero especialmente en los últimos tiempos, ya que este incidente sigue a los ataques a Mango y Moola Markets, que perdieron $ 115 millones y $ 8,4 millones respectivamente, en octubre.

En los ejemplos anteriores, los fondos se devolvieron parcial o totalmente, lo que garantiza que los usuarios no pierdan por completo. Sin embargo, han pasado dos días desde el attack inicial a Lodestar, y aún no se ha mencionado ninguna reparación planificada.

Hacer un fork de un proyecto existente, incluso protocolos duraderos y resistentes, no garantiza la misma seguridad.

Pero este párrafo en la documentación de Lodestar sugiere que es posible que no se hayan dado cuenta como tal…

Lodestar es un fork de Compound en el núcleo, y Compound tiene algunos de los contratos más probados en batalla en todo DeFi. Hemos agregado códigos para admitir algunos cambios que hemos realizado, a saber, agregar compatibilidad con Arbitrum, compatibilidad con DPX, MAGIC y plvGLP, ajustar algunos modelos de interés y algunos otros cambios pequeños.

El tiempo es la mejor auditoría de seguridad de todas, pero los cambios en los smart contracts hacen que incluso los protocolos más probados se abran a nuevas vulnerabilidades.

Otro mercado manipulado, más millones extraviados, y los manipuladores del mercado siguen adelante...

compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.

te podría gustar...

Level Finance - REKT

Level Finance - BSC - REKT

Level Finance fue rekt. $1.1M en recompensas por referidos fueron robados de la plataforma de perps basada en BSC. El ataque se intentó inicialmente hace más de una semana, pero parece que nadie se dio cuenta. ¿Podría una advertencia haber salvado a Level?

MÁS

Merlin DEX - REKT

Merlin - zksync - REKT

$1,8M desaparecieron en un puff de humo cuando Merlin hizo el clásico truco de magia DeFi. El DEX nativo de zksync habia completado su auditoria por Certik. ¿Cómo es posible que se haya dado luz verde a un protocolo tan fácil de manipular? ¿O la culpa es también de los usuarios?

MÁS

Hundred Finance - REKT 2

Hundred Finance - REKT

El 15 de Abril, Hundred Finance sufrió un exploit de $7,4M en Optimism. Este el primer artículo del protocolo solo, despues de haber compartido el escenario con Agave DAO y Meter. Con el total de el leaderboard y ahora esto, Hundred ya suma $16,9M... ¿Qué ha sido esta vez?

MÁS