La principal vulnerabilidad del ataque era un oráculo plvGLP, que el atacante pudo manipular.

El 10 de diciembre, el protocolo de préstamo basado en Arbitrum Lodestar Finance sufrió un exploit en un ataque de préstamo flash. Según Lodestar, el atacante manipuló el precio del token plvGLP de PlutusDAO antes de tomar prestada toda la liquidez de la plataforma utilizando el token inflado.

En un hilo de Twitter, Lodestar explicó el flujo del ataque. El atacante primero manipuló el tipo de cambio del contrato plvGLP a 1.83 GLP por plvGLP, «un exploit que por sí mismo no sería rentable», dijo la compañía.

A continuación, el atacante proporcionó garantías plvGLP a Lodestar y tomó prestada toda la liquidez disponible, haciendo efectivo parte de los fondos «hasta que el mecanismo de ratio de colateralización impidió una liquidación completa del plvGLP».

Tras el hackeo, «varios holders de plvGLP también aprovecharon la oportunidad y cobraron a 1.83 glp por plvGLP». El hacker pudo quemar algo más de 3 millones en GLP, obteniendo beneficios con los «fondos robados en Lodestar, menos los GLP que quemó», señaló la plataforma DeFi.

El atacante obtuvo unos USD 5.8 millones de beneficios. Lodestar afirma que se pudieron recuperar cerca de 2.8 millones de GLP (unos USD 2.4 millones), que deberían utilizarse para reembolsar a los depositantes. La empresa está intentando negociar una recompensa por fallo con su explotador:

La principal vulnerabilidad que llevó al ataque se encuentra dentro del oráculo que Lodestar implementó para discernir el precio de plvGLP. En un análisis, el equipo de auditoría de Solidity Finance dijo que el suceso puso de relieve «que la utilización de oráculos resistentes a la manipulación es una pieza críticamente importante de DeFi, especialmente en protocolos que prestan activos de usuario.»

En un comunicado, el agregador de gobernanza PlutusDAO señaló que sus «productos y plataforma funcionaron exactamente como estaba previsto durante todo el evento. Todos los fondos de Plutus están completamente seguros. El exploit fue únicamente el resultado de la implementación del oráculo de Lodestar». También declaró:

«Queremos asumir la responsabilidad de promover un protocolo no auditado. Aunque el exploit no es en absoluto culpa de Plutus, reconocemos el hecho de que estábamos demasiado impacientes por promocionar un protocolo que integrara plvGLP. Dado que plvGLP ha estado ganando tracción significativa, queríamos poner de relieve todas las integraciones plvGLP a nuestra comunidad, para enfatizar la adopción y las oportunidades que las integraciones han presentado tanto a los usuarios individuales como a los protocolos. Por ello, pedimos disculpas. Nos hemos precipitado y, en adelante, ya no promocionaremos protocolos que no estén auditados.»

El ataque de Lodestar fue similar al exploit de Mango Markets del 11 de octubre, cuando un atacante robó más de USD 100 millones manipulando los datos del oráculo de precios, lo que les permitió a los hackers obtener préstamos de criptomonedas subcolateralizados.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión

Sigue leyendo:

La entrada Lodestar Finance sufre un exploit en un ataque de préstamos flash se publicó primero en Criptoninjas.

Entrada anterior Nigeria refuerza el uso de su moneda digital mientras sus habitantes prefieren bitcoin
Entrada siguiente Lightning de Bitcoin y Western Union compiten por el envío de remesas de Europa a África

Deja una respuesta

Tu dirección de correo electrónico no será publicada.