Allinstation Lodestar Finance hứng 6.5 triệu USD thiệt hại Flash Loan
Vào ngày 10 tháng 12 vừa rồi, Lodestar Finance, một Lending Protocol trên mạng Arbtirum, đã bị tấn công khai thác flash loan với thiệt hại lên đến 6.5 triệu USD.
Theo Lodestar cho biết, hacker đã thao túng giá của token plvGLP, token thuộc PlutusDAO, với mục đích sử dụng nó để rút cạn thanh khoản của nền tảng.
Protocol was exploited and deposits have been drained. We have set all interest rates to 0 so that supply and borrow balances are not moving while we weigh recovery options. What we know right now:
— Lodestar Finance (?,?) (@LodestarFinance) December 10, 2022
Đầu tiên, hacker đã thao túng tỉ lệ chuyển đổi của plvGLP contract thành 1.83 GLP cho một plvGLP.
Tiếp đó, plvGLP đã được sử dụng làm tài sản thế chấp để vay tất cả lượng tài sản có trên Lodestar Finance. Từ đó, hacker liên tục cash out từng phần cho đến khi tỷ lệ tài sản thế chấp của Lodestar Finance ngăn chặn việc thanh lý toàn bộ plvGLP.
Ngay sau vụ hack, một số plvGLP holder cũng đã tận dụng cơ hội và cash out với tỉ lệ 1,83 GLP cho mỗi plvGLP.
Hacker đã burn hơn 3 triệu GLP trên nền tảng, kiếm gần 5.8 triệu USD lợi nhuận từ phần chênh lệch giữa số tiền đánh cắp từ Lodestar và lượng GLP mà hacker đã burn trong quá trình thực hiện cuộc tấn công.
Phản hồi từ phía Lodestar Finance về vụ việc
Lodestar tuyên bố rằng gần 2.8 triệu GLP (khoảng 2.4 triệu USD) có thể thu hồi được từ vụ hack.
Số tiền này sẽ được sử dụng để hoàn trả cho các người dùng đã gửi tiền lên nền tảng. Công ty đang cố gắng thương lượng với hacker để có thể thu hồi khoản tiền còn lại:
If you are the hacker, reach out to us so we can find a white-hat agreement and move on.
Recovering the funds of our users is the main priority and we will generously reward your collaboration.#Hack #whitehat #Arbitrum $LODE #Exploit #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (?,?) (@LodestarFinance) December 10, 2022
Lỗ hổng chính dẫn đến cuộc tấn công nằm ở Oracle mà Lodestar đã triển khai để phân biệt giá của plvGLP.
Nhóm kiểm toán của Solidity Finance cho biết sự kiện này đã nhấn mạnh tầm quan trọng của việc sử dụng Oracle chống thao túng trong các giao thức cho vay tài sản của người dùng.
Đơn vị quản trị đại diện cho PlutusDAO cũng lưu ý rằng:
“Các sản phẩm và nền tảng của PlutusDAO hoạt động chính xác như dự định trong toàn bộ sự kiện. Tất cả tiền trên Plutus đều hoàn toàn an toàn. Việc khai thác chỉ là hậu quả trong việc triển khai Oracle của Lodestar.”
Tấn công flash loan trên Lodestar cũng tương tự như vụ khai thác Mango Markets vào ngày 11 tháng 10, khi hơn 100 triệu USD đã bị đánh cắp thông qua một kẻ tấn công thao túng dữ liệu Oracle về giá, cho phép tin tặc thực hiện các khoản vay được thế chấp dưới mức.
Tham khảo thêm Hàng loạt các dự án crypto bị hacker ghé thăm gần đây
Anh em tham gia các kênh thông tin của chúng mình để thảo luận và bắt kịp những diễn biến mới nhất của thị trường nhé:
? HC Capital Channel | HC Capital Group Chat
? HC Research Channel | HC Research Group Chat
? Margin HC Channel | Margin HC Group Chat
? HC Gem Alerts | HC Gem Alerts Chat