Mới đây nhất, giao thức Lodestar Finance bị tấn công flash loan. Lỗ hổng chính đằng sau cuộc tấn công nằm trong GLP oracle và cách nó tiến hành định giá.
Giao thức cho vay dựa trên Arbitrum, Lodestar Finance, đã bị tấn công flash loan vào ngày 10/12. Theo Lodestar, kẻ tấn công đã thao túng giá của mã thông báo plvGLP trước khi vay tất cả thanh khoản của nền tảng bằng cách sử dụng mã thông báo bị lạm phát.
Trong một chủ đề trên Twitter, Lodestar đã giải thích quy trình tấn công. Công ty cho biết trước tiên, kẻ tấn công đã thao túng tỷ giá hối đoái của hợp đồng plvGLP thành 1.83 GLP trên mỗi plvGLP. Sau đó, kẻ tấn công đã cung cấp tài sản thế chấp plvGLP cho Lodestar, vay tất cả thanh khoản hiện có trên nền tảng sau đó rút một phần tiền ra cho đến khi cơ chế tỷ lệ tài sản thế chấp ngăn chặn việc thanh lý toàn bộ plvGLP.
Sau khi Lodestar Finance bị tấn công flash loan, một số chủ sở hữu plvGLP cũng đã tận dụng cơ hội và cũng rút tiền mặt với giá 1.83 glp mỗi plvGLP. Tin tặc đã có thể đốt hơn 3 triệu GLP và kiếm lợi nhuận từ số tiền bị đánh cắp trên Lodestar. Kẻ tấn công đã kiếm được khoảng 5.8 triệu USD tiền lãi. Lodestar tuyên bố rằng gần 2.8 triệu GLP (khoảng 2.4 triệu USD) có thể thu hồi được. Số tiền này sẽ được sử dụng để hoàn trả cho người gửi tiền. Công ty đang cố gắng thương lượng tiền thưởng lỗi với kẻ tấn công ở thời điểm Fiahub viết bài này.
Lỗ hổng chính dẫn đến việc Lodestar Finance bị tấn công flash loan nằm bên trong GLPOracle và cách nó tiến hành định giá. Trong một phân tích, nhóm kiểm toán của Solidity Finance cho biết sự kiện này đã nhấn mạnh rằng việc sử dụng các giải pháp chống thao túng là một phần cực kỳ quan trọng của DeFi, đặc biệt là trong các giao thức cho vay tài sản của người dùng.
Trong một tuyên bố, công cụ tổng hợp quản trị PlutusDAO lưu ý rằng các sản phẩm và nền tảng của họ hoạt động chính xác trong suốt thời gian Lodestar Finance bị tấn công flash loan. Mặc dù việc bị tấn công này không phải là lỗi của Plutus, nhưng họ cho rằng lỗi của họ ở đây là đã quá nóng vội quảng bá một giao thức tích hợp plvGLP. Với việc plvGLP đạt được sức hút đáng kể, họ đã muốn làm giới thiệu cho cộng đồng. Và việc mở rộng nhanh chóng này có thể đã khiến hacker để mắt tới.
Sự việc Lodestar Finance bị tấn công flash loan tương tự như cuộc tấn công của Mango Markets vào ngày 11/10 mà Fiahub đã giới thiệu trong một bài viết trước đó. Thời điểm đó, hơn 100 triệu USD đã bị đánh cắp thông qua một kẻ tấn công thao túng dữ liệu về giá. Hành vi này đã cho phép tin tặc thực hiện các khoản vay tiền điện tử được thế chấp dưới mức và trục lợi từ đó.
Linh Bùi là một nhà sáng tạo nội dung, chuyên gia nghiên cứu trong lĩnh vực tài chính nói chung và tiền điện tử nói riêng. Với mong muốn chia sẻ các tuyến bài viết chuyên về kiến thức, cập nhật tin tức về thị trường tài chính tại Việt Nam và trên toàn cầu, Linh Bùi đã và đang tham gia với vai trò biên tập viên/người sáng tạo nội dung tại một số nền tảng, sàn giao dịch như Fiahub, BeInCrypto, Mitrade, Finixio, Dr.Localize… Trong mỗi bài viết của mình, Linh Bùi đều mong muốn đơn giản hóa các khái niệm tài chính liên quan, giảm thiểu rào cản gia nhập cho độc giả, đặc biệt là những người mới tham gia.
