Lodestar sufre un ataque de préstamo flash de $ 6 millones

Un protocolo de préstamo en el ecosistema de Arbitrum, Lodestar Finance, ha sido víctima de un ataque de préstamo rápido. El 10 de diciembre, un actor malintencionado pudo llevarse un botín de alrededor de 5,8 millones de dólares de la plataforma. Lodestar ha publicado desde entonces un Twitter hilo explicando cómo el culpable pudo hacerlo.

Hacker ajusta el tipo de cambio y retira liquidez

Según la publicación, el enfoque del atacante fue manipular la tasa de intercambio del contrato plvGLP de la red. El culpable fijó la tarifa en 1,83 GLP por plvGLP. Sin embargo, fue su primer movimiento, ya que el equipo de Lodestar señaló que no podría haber funcionado por sí solo.

A reporte de Solidity Finance explicó por qué el pirata informático pudo manipular el precio de plvGLP.

El GLPOracle no tuvo en cuenta correctamente el impacto de un usuario que llama a donate() en el contrato GlpDepositor, lo que infla los activos del contrato GlpDepositor y, por lo tanto, el precio entregado por Oracle del token plvGLP».

Posteriormente, utilizando el plvGLP inflado como garantía, el pirata informático pidió prestado más de lo que debería haber podido. De hecho, pudieron tomar prestados casi todos los activos disponibles en Lodestar. El equipo informa que el culpable canjeó los fondos que pudo, pero se detuvo debido al mecanismo de índice de garantía de Lodestar.

Los titulares de plvGLP también cobran

El atacante no fue la única entidad que explotó la situación que habían creado. De hecho, según el hilo, varios titulares de plvGLP comenzaron a cobrar a la tasa aumentada de 1,83 GLP por plvGLP. Después del hackeo, Lodestar colocó todas sus tasas de interés en cero, poniendo en pausa los saldos de oferta y préstamo.

Por ahora, la plataforma está considerando opciones de recuperación. Lodestar reveló que el pirata informático había quemado un poco más de 3M en GLP. Como tal, los fondos con los que se apropiaron consistían en los «fondos robados en Lodestar» y no incluían el GLP quemado.

Como se indicó anteriormente, la ganancia del atacante llegó a alrededor de $ 5,8 millones. Sin embargo, la plataforma afirma que puede recuperar 2,8 millones de GLP, lo que equivale a unos 2,4 millones de dólares.

Lodestar persigue un acuerdo de sombrero blanco

Lodestar ha revelado sus intenciones de contactar al hacker para discutir una recompensa por errores y, con suerte, recuperar más de las ganancias robadas. La plataforma anunció posibles recompensas, compartiendo 3 direcciones de billetera.

Si usted es el hacker, comuníquese con nosotros para que podamos encontrar un acuerdo de sombrero blanco y seguir adelante.

Recuperar los fondos de nuestros usuarios es la principal prioridad y recompensaremos generosamente tu colaboración.#Cortar a tajos #sombrero blanco #arbitro $LODE #Explotar #DEFI https://t.co/SWlCr3KMib

— Finanzas Lodestar (💙,🧡) (@LodestarFinance) 10 de diciembre de 2022

Como actualmente enfrenta niveles significativos de deuda incobrable, Lodestar dice que su objetivo principal es recuperar los fondos de los clientes. El protocolo ha prometido una generosa recompensa por la cooperación del hacker.

PlutusDAO lanzó un declaración en su página oficial aclarando su lugar en la situación. Según la publicación, la infracción se produjo debido a la implementación defectuosa del oráculo de Lodestar. De hecho, todas las ofertas de Plutus funcionaron según el diseño a través del hack. Los fondos en Plutus son completamente seguros, aseguró la publicación.

El hackeo de Lodestar se produce aproximadamente dos meses después de la filtración de Mango Markets. En un ataque similar, el pirata informático manipuló los datos del oráculo de precios para pedir prestados fondos con garantías inadecuadas. Mango reportó pérdidas por valor de 100 millones de dólares tras el hackeo.