El 10 de diciembre, el protocolo de préstamo basado en Arbitrum Lodestar Finance sufrió un exploit en un ataque de préstamo flash. Según Lodestar, el atacante manipuló el precio del token plvGLP de PlutusDAO antes de tomar prestada toda la liquidez de la plataforma utilizando el token inflado.
En un hilo de Twitter, Lodestar explicó el flujo del ataque. El atacante primero manipuló el tipo de cambio del contrato plvGLP a 1.83 GLP por plvGLP, «un exploit que por sí mismo no sería rentable», dijo la compañía.
A continuación, el atacante proporcionó garantías plvGLP a Lodestar y tomó prestada toda la liquidez disponible, haciendo efectivo parte de los fondos «hasta que el mecanismo de ratio de colateralización impidió una liquidación completa del plvGLP».
Tras el hackeo, «varios holders de plvGLP también aprovecharon la oportunidad y cobraron a 1.83 glp por plvGLP». El hacker pudo quemar algo más de 3 millones en GLP, obteniendo beneficios con los «fondos robados en Lodestar, menos los GLP que quemó», señaló la plataforma DeFi.
El atacante obtuvo unos USD 5.8 millones de beneficios. Lodestar afirma que se pudieron recuperar cerca de 2.8 millones de GLP (unos USD 2.4 millones), que deberían utilizarse para reembolsar a los depositantes. La empresa está intentando negociar una recompensa por fallo con su explotador:
If you are the hacker, reach out to us so we can find a white-hat agreement and move on.
Recovering the funds of our users is the main priority and we will generously reward your collaboration.#Hack #whitehat #Arbitrum $LODE #Exploit #DEFI https://t.co/SWlCr3KMib
— Lodestar Finance (,) (@LodestarFinance) December 10, 2022
Si eres el hacker, ponte en contacto con nosotros para que podamos llegar a un acuerdo y seguir adelante. Recuperar los fondos de nuestros usuarios es la principal prioridad y recompensaremos generosamente tu colaboración.
La principal vulnerabilidad que llevó al ataque se encuentra dentro del oráculo que Lodestar implementó para discernir el precio de plvGLP. En un análisis, el equipo de auditoría de Solidity Finance dijo que el suceso puso de relieve «que la utilización de oráculos resistentes a la manipulación es una pieza críticamente importante de DeFi, especialmente en protocolos que prestan activos de usuario.»
En un comunicado, el agregador de gobernanza PlutusDAO señaló que sus «productos y plataforma funcionaron exactamente como estaba previsto durante todo el evento. Todos los fondos de Plutus están completamente seguros. El exploit fue únicamente el resultado de la implementación del oráculo de Lodestar». También declaró:
«Queremos asumir la responsabilidad de promover un protocolo no auditado. Aunque el exploit no es en absoluto culpa de Plutus, reconocemos el hecho de que estábamos demasiado impacientes por promocionar un protocolo que integrara plvGLP. Dado que plvGLP ha estado ganando tracción significativa, queríamos poner de relieve todas las integraciones plvGLP a nuestra comunidad, para enfatizar la adopción y las oportunidades que las integraciones han presentado tanto a los usuarios individuales como a los protocolos. Por ello, pedimos disculpas. Nos hemos precipitado y, en adelante, ya no promocionaremos protocolos que no estén auditados.»
El ataque de Lodestar fue similar al exploit de Mango Markets del 11 de octubre, cuando un atacante robó más de USD 100 millones manipulando los datos del oráculo de precios, lo que les permitió a los hackers obtener préstamos de criptomonedas subcolateralizados.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.
