Lodestar Finance - 翻车

Lodestar Finance是Arbitrum上的Compound分叉项目，沦为市场操纵的最新受害者，而这种操纵已经影响到我们整个行业的用户和协议。

上周六，plvGLP抵押品的价格预言机被操纵，允许黑客抽光他们的借贷池，获得约650万美元的利润。

根据官方公告，"280万的GLP是可恢复的，价值约240万美元"。该团队已经呼吁黑客协商白帽赏金。

该事件使代币LODE被砸盘约70%，TVL跌至仅11美元。

Lodestar Finance在排行榜上位列第77位。

在Lodestar的抵押资产中，有流动性挖矿的plvGLP，代表锁在Plutus DAO金库中的GLP。黑客使用闪电贷操纵了Lodestar的GLPOracle合约所报告的plvGLP价格，使他们能够"借"到平台上提供的所有资金。

Lodestar的文档指出：

我们依赖Chainlink的预言机来获取准确的价格 （除了plvGLP之外）。

（这为）任何可能的黑客提供一个诱人的说明......

Solidity Finance总结了根本原因：

GLPOracle没有正确考虑到用户在GlpDepositor合约上调用donate()的影响，这使得GlpDepositor合约的资产膨胀，从而影响plvGLP代币的预言机报告的价格。

Lodestar的事后报告提供了该漏洞的进一步细节，同时指出，"不能让预言机在同一区块内发生瞬时变化"。

Certik的报告包含了攻击流程的完整步骤。

黑客地址：0xc29d94386ff784006ff8461c170d1953cc9e2b5c

攻击交易：0xc523c630...

攻击所需的343个ETH（43万美元）是三个月前从Polygon桥跨链来的。在攻击之后，这些资金被换成了ETH，被跨链回主网并分散到多个地址。

自DeFi兴起以来，操纵抵押品的价格一直是流行的攻击方式，在最近一段时间尤其如此，这次事件是继10月份Mango和Moola Markets被攻击之后——分别损失了1.15亿美元，和840万美元的又一起相似攻击。

上述案例中，资金部分或全部返还，用户没有完全损失。然而，从最初对Lodestar的攻击到现在已经过去两天了，还没有提到任何赔偿计划。

_分叉一个现有的项目，即使是长期存在的、有弹性的协议，也不能保证同样的安全。 _

但是Lodestar文档中的这一段表明他们可能没有意识到这一点......

Lodestar的核心是Compound分叉，而Compound有部分在所有DeFi中最经得起考验的合约。我们已经添加了代码来支持我们所做的一些改变，即添加Arbitrum网络，DPX，MAGIC和plvGLP，调整一些利率模型，以及其他一些小的改变。

时间是最好的安全审计，但智能合约的变化使得即使是最经得起时间考验的协议也会出现新的漏洞。

又一个市场被操纵的案例，更多的钱被误伤，市场操纵者继续前行......

REKT作为匿名作者的公共平台，我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任，无论是由我们网站的匿名作者，还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则，我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责，也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。