Протокол Lodestar Finance - REKT

Протокол Lodestar Finance пополнил список жертв массовых рыночных манипуляций, от которых пострадали не только отдельные пользователи, но и протоколы во всей индустрии.

В субботу злоумышленник подверг коллатерал ценового оракула plvGLP манипуляции, в результате получив возможность слить из займовых пулов средства стоимостью ~$6.5M.

Согласно официальному заявлению, “2.8 миллиона GLP можно восстановить, их стоимость составляет примерно $2.4 миллиона.” Команда обратилась к хакеру с предложением обсудить возможность баунти для этичного хакера.

По итогу инцидента цена токена LODE упала на ~70%, а от TVL осталось всего лишь $11.

Для Lodestar Finance это означает #77 в рейтинге.

Одним из залоговых активов Lodestar был приносящий доходность plvGLP, представляющий собой GLP, заблокированный в хранилище Plutus DAO. Используя флэш-займы, злоумышленник манипулировал ценой plvGLP, передаваемой через контракт GLPOracle. Это дало ему возможность "одолжить" все фонды, представленные на платформе.

В документации Lodestar говорится:

Для точного ценоопределения мы полагаемся на оракулы Chainlink, (за исключением plvGLP)

Приглашение для всех потенциальных злоумышленников...

Solidity Finance резюмировали главную причину:

GLPOracle не учел должным образом влияние вызова пользователем функции donate() в контракте GlpDepositor, что раздувает активы контракта GlpDepositor и, следовательно, цену токена plvGLP, предоставляемую оракулом.

В предварительном пост-мортеме Lodestar приводятся последующие детали эксплоита, а также в нем подчеркивается, что “нельзя позволять оракулу подвергаться мгновенным изменениям в пределах одного блока.”

Аудиторская компания Certik предоставила отчет с пошаговым описанием процесса атаки.

Адрес злоумышленника: 0xc29d94386ff784006ff8461c170d1953cc9e2b5c

Пример транзакции эксплоита: 0xc523c630…

Необходимые для атаки 343 ETH ($430k) были переведены через мост из Polygon три месяца назад. Сразу же после эксплоита хакер обменял фонды на ETH, перевел обратно через мост в главную сеть и распределил между множеством адресов.

Манипулирование ценой коллатерала было популярной техникой проведения атак с момента появления DeFi, но особенно они участились в последнее время, поскольку этот инцидент последовал за атакой на протоколы Mango и Moola Markets, потерявшие соответственно $115M и $8.4M в октябре.

В приведенных выше примерах средства были частично или полностью возвращены, что позволило пользователям не остаться в убытке. Однако, прошло уже два дня с момента атаки на Lodestar, и никаких упоминаний о запланированной компенсации не последовало.

Делать форк существующего проекта, даже если это давно существующий и устойчивый протокол, не гарантирует тот же уровень безопасности.

Но, судя по этому абзацу в документации Lodestar, они это поняли по-другому…

По своей сути Lodestar является форком Compound, а Compound является одним из самых проверенных боем контрактов в DeFi. Мы дописали код в поддержку некоторых внесенных нами изменений, а именно добавили поддержку Arbitrum, DPX, MAGIC и plvGLP, сделали настройку некоторых процентных моделей и еще некоторые небольшие изменения.

Время является самым лучшим аудитом безопасности из всех возможных, но изменения в смарт-контракте открывают даже в самых проверенных временем протоколах новые уязвимости.

Еще один рынок подвергся манипуляции, еще больше миллионов фондов вложены не туда, и рыночные манипуляторы идут дальше...

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.