Manteisiwyd ar brotocol benthyca seiliedig ar Arbitrum Lodestar Finance mewn ymosodiad benthyciad fflach ar Ragfyr 10. Yn ôl Lodestar, bu'r ymosodwr yn trin pris y tocyn plvGLP cyn benthyca holl hylifedd platfform gan ddefnyddio'r tocyn chwyddedig.
Mewn edefyn Twitter, Lodestar esbonio llif yr ymosodiad. Yn gyntaf fe wnaeth yr ymosodwr drin cyfradd cyfnewid y cytundeb PLvGLP i 1.83 GLP fesul PLvGLP, “camfanteisio a fyddai ynddo’i hun yn amhroffidiol”, meddai’r cwmni.
Yna, fe wnaeth yr ymosodwr gyflenwi plvGLP cyfochrog i Lodestar a benthyca’r holl hylifedd oedd ar gael, gan gyfnewid rhan o’r arian “nes i fecanwaith y gymhareb gyfochrog atal ymddatod llawn o’r plvGLP.”
Yn dilyn yr hac, “manteisiodd nifer o ddeiliaid PLvGLP ar y cyfle hefyd gan gyfnewid 1.83 glp fesul plvGLP.” Llwyddodd yr haciwr i losgi ychydig dros 3 miliwn mewn GLP, gan wneud elw ar yr “arian a ddwynwyd ar Lodestar - heb y GLP y maent yn ei losgi.”, nododd y platfform DeFi.
Gwnaeth yr ymosodwr tua $5.8 miliwn mewn elw. Mae Lodestar yn nodi bod modd adennill bron i 2.8 miliwn o'r GLP (tua $2.4 miliwn), y dylid ei ddefnyddio i ad-dalu adneuwyr. Mae'r cwmni'n ceisio negodi bounty byg gyda'i ecsbloetiwr:
Os mai chi yw'r haciwr, cysylltwch â ni fel y gallwn ddod o hyd i gytundeb het wen a symud ymlaen.
Adennill arian ein defnyddwyr yw'r brif flaenoriaeth a byddwn yn gwobrwyo eich cydweithrediad yn hael.#Hac # gwynhet #Arbitrwm $LODE #Manteisio #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (,) (@LodestarFinance) Rhagfyr 10, 2022
Y prif fregusrwydd a arweiniodd at yr ymosodiad yw y tu mewn i GLPOracle a sut mae'n cynnal ei bris. Mewn dadansoddiad, dywedodd tîm archwilio Solidity Finance fod y digwyddiad wedi tynnu sylw at “fod defnyddio oraclau sy’n gwrthsefyll ystrywio yn ddarn hanfodol bwysig o DeFi, yn enwedig mewn protocolau sy’n rhoi benthyg asedau defnyddwyr.”
Mewn datganiad, cydgrynhoad llywodraethu PlutusDAO nodi bod ei “gynhyrchion a’i blatfform yn gweithredu’n union fel y bwriadwyd trwy’r digwyddiad cyfan. Mae'r holl arian ar Plutus yn gwbl ddiogel. Roedd y camfanteisio yn ganlyniad i weithrediad oracl Lodestar yn unig.” Dywedodd hefyd:
“Rydym am gymryd cyfrifoldeb am hyrwyddo protocol heb ei archwilio. Er nad yw'r camfanteisio yn fai ar Plutus mewn unrhyw ffordd, rydym yn cydnabod y ffaith ein bod yn rhy awyddus i hyrwyddo protocol sy'n integreiddio PLvGLP. Gyda plvGLP yn cael ei dynnu'n sylweddol, rydym wedi bod eisiau tynnu sylw at yr holl integreiddiadau PLvGLP i'n cymuned i bwysleisio'r mabwysiadu a'r cyfleoedd y mae'r integreiddiadau wedi'u cyflwyno i ddefnyddwyr unigol a phrotocolau. Am hyn, ymddiheurwn. Fe wnaethon ni neidio’r gwn, ac wrth symud ymlaen ni fyddwn bellach yn hyrwyddo protocolau nad ydyn nhw’n cael eu harchwilio.”
Roedd ymosodiad Lodestar yn debyg i ymelwa Mango Markets ar Hydref 11, pan cafodd dros $100 miliwn ei ddwyn trwy ymosodwr yn trin data oracl pris, gan ganiatáu i'r hacwyr gymryd benthyciadau cryptocurrency tan-cyfochrog.
Ffynhonnell: https://cointelegraph.com/news/lodestar-finance-exploited-in-flash-loan-attack