龙星金融在闪贷攻击中被利用

攻击背后的主要漏洞是攻击者能够操纵的plvGLP预言机。

基于仲裁的贷款协议Lodestar Finance在12月10日的闪电贷款攻击中被利用。根据Lodestar的说法，攻击者在使用膨胀的代币借入所有平台流动性之前操纵了PlutusDAO的plvGLP代币的价格。

在Twitter帖子中，Lodestar解释了攻击流程。该公司表示，攻击者首先将plvGLP合约的汇率操纵为每plvGLP的1.83 GLP，“这种利用本身是无利可图的”。

然后，攻击者向Lodestar提供了plvGLP抵押品，并借入了所有可用的流动性，兑现了部分资金，“直到抵押比率机制阻止了plvGLP的完全清算。

黑客攻击发生后，“一些plvGLP持有者也利用了这个机会，并以每plvGLP1.83 glp的价格兑现。DeFi平台指出，黑客能够烧掉300多万的GLP，从“Lodestar上的被盗资金 - 减去他们烧毁的GLP”中获利。

攻击者赚取了大约 580 万美元的利润。Lodestar表示，GLP中有近280万(约合240万美元)是可收回的，应该用于偿还储户。该公司正试图与其利用者协商漏洞赏金：

如果您是黑客，请与我们联系，以便我们找到白帽协议并继续前进。

收回用户的资金是重中之重，我们将慷慨地奖励您的合作。

导致攻击的主要漏洞位于Lodestar为辨别plvGLP价格而实施的预言机内部。在一项分析中，Solidity Finance审计团队表示，该事件强调“利用抗操纵的预言机是DeFi中至关重要的一部分，尤其是在借出用户资产的协议中。

治理聚合商PlutusDAO在一份声明中指出，其“产品和平台在整个活动中完全按照预期运行。Plutus上的所有资金都是完全安全的。该漏洞完全是Lodestar的oracle实现的结果。它还指出：

“我们希望负责推广未经审计的协议。虽然这个漏洞绝不是Plutus的错，但我们认识到这样一个事实，即我们太急于推广集成plvGLP的协议。随着 plvGLP 获得显着的牵引力，我们希望向我们的社区强调所有 plvGLP 集成，以强调集成为个人用户和协议带来的采用和机会。对此，我们深表歉意。我们跳了枪，展望未来，我们将不再推广未经审计的协议。

Lodestar攻击类似于10月11日的Mango Markets漏洞利用，当时通过攻击者操纵价格预言机数据窃取了超过1亿美元，允许黑客获得抵押不足的加密货币贷款。