LODESTAR FINANCE - REKT

Arbitrum'da bir Compound çatalı olan Lodestar Finance, sektörümüzde hem insanları hem de protokolleri etkileyen kitle piyasa manipülasyonunun en son kurbanı oldu.

Cumartesi günü, plvGLP teminatının fiyat oracle’ı manipüle edildi ve saldırganın borç verme havuzlarını yaklaşık 6,5 milyon dolarlık bir kâr bırakacak şekilde boşaltmasına izin verdi.

Resmi duyuruya göre, “2,8 Milyon GLP telafi edilebilir, bu da yaklaşık 2,4 milyon dolar değerinde.” Ekip ayrıca beyaz şapka ödülü için pazarlık amaçlı hacker’a açık kapı da bıraktı.

Olay esnasında, LODE tokenının yaklaşık %70 oranında düştüğü ve TVL'in ise sadece 11 dolar kadar kaldığı görüldü.

Ve ta damm…, Lodestar Finance lider tablosunda 77. sırada.

Lodestar'ın teminat varlıkları arasında, Plutus DAO'nun kasasında kilitlenmiş GLP'yi temsil eden getiri sağlayan plvGLP bulunmaktadır. Saldırgan, flash loan ile Lodestar'ın GLPOracle kontratıyla bildirilen plvGLP fiyatını manipüle ederek platformda var olan tüm fonları "ödünç almalarına" izin verdi.

Lodestar belgelerinde şunlar belirtilmektedir:

doğru fiyatlandırma için Chainlink Oracles'a güveniyoruz (plvGLP hariç)

Olası saldırganlara ne güzel bir davet notu…

Solidity Finance temel nedeni şöyle özetledi:

GLPOracle, bir kullanıcının donate() çağrısının GlpDepositor kontratının varlıklarını şişiren GlpDepositor kontratı üzerindeki etkisini ve dolayısıyla plvGLP tokenının oracle tarafından sağlanan fiyatını düzgün bir şekilde hesaba katmadı.

Lodestar'ın ön otopsisi, istismar hakkında daha fazla ayrıntı vermenin yanı sıra “oracle’ın aynı blok içinde ani değişime uğramasına izin verilmeyeceğine” de işaret ediyor.

Certik'in raporu, adım adım saldırı akışını içermektedir.

Saldırganın adresi 0xc29d94386ff784006ff8461c170d1953cc9e2b5c

İstismar işlemi: 0xc523c630…

Saldırı için gerekli olan 343 ETH (430 bin dolar) üç ay önce Polygon'dan köprülendi. İstismarın ardından fonlar ETH'e çevrildi, mainnet’e köprülendi ve birden çok adrese dağıtıldı.

Teminat fiyatını manipüle etmek, DeFi'ın başlangıcından beri yaygın bir saldırı tekniğiydi, ancak özellikle son zamanlarda, Ekim ayında sırasıyla 115 milyon dolar ve 8,4 milyon dolar kaybeden Mango ve Moola Marketlerine yapılan saldırıları takip eden bu olayla birlikte daha da popülerleşti.

Yukarıdaki işlemlerde fonların kısmen veya tamamen geri dönmesi, kullanıcıların tamamen fonlarını kaybetmemesini sağladı. Yine de Lodestar'a yapılan bu ilk saldırının üzerinden iki gün geçti ve planlanan herhangi bir tazminattan henüz söz edilmedi.

Uzun süredir var olan ve dirençli protokoller dahi olsalar mevcut bir projeyi çatallamak aynı güvenliği garanti etmez.

Ancak Lodestar belgelerindeki bu paragraf, onların bunu fark etmemiş olabileceklerini gösteriyor…

Lodestar, özünde bir Compound çatalıdır ve Compound, tüm DeFi'da en çok battle-test geçirmiş kontratlardan bazılarına sahiptir. Yaptığımız birkaç değişikliği desteklemek için bazı Faiz Modellerinde ince ayar yapmak ve diğer bazı küçük değişiklikler gibi (Arbitrum desteği, DPX, MAGIC ve plvGLP desteği) birkaç kod ekledik.

Zaman, en iyi güvenlik denetimidir, ancak akıllı kontratlardaki değişiklikler, en uzun süreli zaman testinden geçen protokolleri bile yeni güvenlik açıklarına tekrardan açık hale getirir.

Başka bir piyasa manipülasyonu, yine uçup giden milyonlar, ve yine parasına para katmakta olan piyasa manipülatörleri…

REKT, anonim yazarlar için halka açık bir platform olarak hizmet eder, REKT'te bulunan görüşler veya içerik için hiçbir sorumluluk kabul etmiyoruz.

bağış yap (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

sorumluluk reddi:

REKT, Web Sitemizde veya hizmetlerimizle bağlantılı olarak web sitemizin ANON yazarı veya REKT tarafından gönderilen, yayınlanan veya neden olunan hiçbir içerikten hiçbir şekilde sorumlu veya yükümlü değildir. Anon yazarın davranışları ve gönderileri için kurallar sağlamamıza rağmen, onun web sitemizde veya hizmetlerimizde yayınladığı, ilettiği veya paylaştığı şeylerden sorumlu değiliz veya web sitemizde ve hizmetlerimizde karşılaşabileceğiniz herhangi bir saldırgan, uygunsuz, müstehcen, yasa dışı veya başka şekilde sakıncalı olan içerikten sorumlu değiliz. REKT, Web Sitemizin veya Hizmetlerimizin herhangi bir kullanıcısının çevrimiçi veya çevrimdışı davranışlarından sorumlu değildir.