10 月 XNUMX 日,一个 快速贷款攻击 是针对基于 Arbitrum 的借贷协议 Lodestar Finance 推出的。 Lodestar 声称攻击者夸大了 PlutusDAO 上 plvGLP 代币的价值,然后使用该代币借用网络上全部可用的流动性供应。 北极星解释 Lodestar 在一系列推文中列出了攻击过程。 攻击者首先将 plvGLP 合约汇率设置为每个 plvGLP 1.83 GLP,正如该公司所说,“仅靠这种攻击是无利可图的”。 然后,攻击者将 plvGLP 质押为 Lodestar 的抵押品,借入尽可能多的金额并提取部分资金,“直到 CRM 排除了 plvGLP 的全部清算”。 之后 破解,有“许多 plvGLP 持有者”“每个 plvGLP 也获得 1.83 glp”。 根据 DEFI 平台,黑客通过“在 Lodestar 上窃取的资金——减去他们销毁的 GLP”赚钱。 这相当于 3 万多一点 GLP。 肇事者净赚近 5.8 万美元。 然而,根据 Lodestar 的说法,大约 2.8 万美元的 GLP(约 2.5 万美元)是可以收回的,应该用来偿还存款人。 此外,该公司正在与黑客谈判以提供漏洞赏金: 允许攻击的主要缺陷存在于 Lodestar 为确定 plvGLP 的价值而构建的 oracle 中。 正如 Solidity Finance 审计团队所说,这一事件表明“部署不受剥削影响的预言机是 DeFi 的重要组成部分,尤其是在借出用户资产的协议中”。 PlutusDAO 发布声明 治理聚合器 PlutusDAO 发布了一份声明,称“一切顺利,产品和平台做了他们应该做的事情。 Plutus 始终保证所有用户资金的安全。 只有北极星的 预言机实现 对漏洞负责。” 该文件还包括以下内容: “我们愿意承认我们提倡未经验证的程序这一事实。 尽管这种利用不是 Plutus 的错,但我们现在意识到我们提倡包含 plvGLP 的协议的速度太快了。” 随着 plvGLP 的日益普及,重要的是要确保我们的社区了解每个 plvGLP 集成,以强调集成的广泛使用以及它们为协议开发和个人用户带来的好处。 我们对此深感遗憾。 我们仓促下了结论。 因此,从现在开始,我们不会提倡未经独立审计师审查的协议。 类似于 芒果市场利用 11 月 100 日,通过更改价格预言机数据盗取了超过 XNUMX 亿美元。 此外,Lodestar 攻击允许犯罪者进行抵押不足的比特币贷款。 (责任编辑:admin) |