Das auf Arbitrum basierende Kreditvergabeprotokoll Lodestar Finance wurde am 10. Dezember Opfer eines Flash Loan-Angriffs. Laut Lodestar manipulierte der Angreifer den Kurs des plvGLP-Tokens von PlutusDAO und hat daraufhin die gesamte Liquidität der Plattform mit dem aufgeblähten Token ausgeliehen.

In einem Twitter-Thread erläuterte Lodestar den Angriffsablauf. Der Angreifer manipulierte zunächst den Kurs des plvGLP-Kontrakts auf 1,83 GLP pro plvGLP, „ein Exploit, der für sich genommen unrentabel wäre“, so das Unternehmen.

Dann lieferte der Angreifer plvGLP-Sicherheiten an Lodestar und nahm die gesamte verfügbare Liquidität auf. Dabei hat er sich einen Teil des Geldes ausgezahlt, „bis der Mechanismus der Besicherungsquote eine vollständige Liquidation der plvGLP verhinderte“.

Nach dem Hack „nutzten auch mehrere plvGLP-Inhaber die Gelegenheit und kassierten ebenfalls zu 1,83 glp pro plvGLP ab“. Der Hacker konnte so etwas mehr als 3 Millionen GLP verbrennen und mit dem „gestohlenen Geld auf Lodestar – abzüglich der verbrannten GLP – Profit machen“, so die DeFi-Plattform.

Der Angreifer machte so rund 5,8 Millionen US-Dollar Gewinn. Lodestar gibt an, dass fast 2,8 Millionen dieser GLP (ca. 2,4 Millionen US-Dollar) wiedererlangt werden konnten. Damit sollen Einleger entschädigt werden. Das Unternehmen versucht, mit dem Angreifer eine Bug Bounty auszuhandeln:

If you are the hacker, reach out to us so we can find a white-hat agreement and move on.

Recovering the funds of our users is the main priority and we will generously reward your collaboration.#Hack #whitehat #Arbitrum $LODE #Exploit #DEFI https://t.co/SWlCr3KMib

— Lodestar Finance (,) (@LodestarFinance) December 10, 2022

Die Hauptschwachstelle, die zu dem Angriff führte, befindet sich in dem Orakel, das Lodestar implementiert hat, um den Preis von plvGLP zu ermitteln. In einer Analyse sagte das Prüfungsteam von Solidity Finance, der Vorfall habe gezeigt, „die Verwendung von manipulationssicheren Orakeln ist ein wichtiger Bestandteil von DeFi, insbesondere bei Protokollen, die Vermögenswerte von Nutzern verleihen“.

In einer Erklärung stellte der Governance-Aggregator PlutusDAO fest, dass seine „Produkte und seine Plattform während des gesamten Vorgangs genau wie vorgesehen funktioniert haben. Das Geld auf Plutus ist absolut sicher. Die Schwachstelle war ausschließlich auf die Orakel-Implementierung von Lodestar zurückzuführen.“ Weiter hieß es:

„Wir übernehmen die Verantwortung für die Bewerbung eines ungeprüften Protokolls. Obwohl Plutus in keiner Weise die Schuld an dem Exploit trägt, erkennen wir die Tatsache an, dass wir zu vorschnell ein Protokoll beworben haben, das plvGLP integriert. Da plvGLP immer mehr an Bedeutung gewinnt, wollten wir alle plvGLP-Integrationen in unserer Community hervorheben, um die Akzeptanz und die Möglichkeiten zu betonen, die die Integrationen für einzelne Nutzer und für Protokolle bieten. Dafür möchten wir uns entschuldigen. Wir waren voreilig und werden in Zukunft keine Protokolle mehr fördern, die nicht geprüft wurden.“

Der Lodestar-Angriff ähnelte dem Exploit bei Mango Markets vom 11. Oktober, als über 100 Millionen US-Dollar von einem Angreifer gestohlen wurden.