Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 116Oracle-Manipulation

Lodestar Finance plvGLP-Orakel

Lodestar auf Arbitrum verlor 6,5 Mio. $, nachdem der Angreifer das plvGLP-Orakel manipulierte, das den GLP-Pool-Status direkt las und Kredite ermöglichte.

Datum
Opfer
Lodestar Finance
Chain(s)
Arbitrum
Status
Mittel entwendet

Am 10. Dezember 2022 verlor das auf Arbitrum basierende Kreditprotokoll Lodestar Finance rund 6,5 Millionen $ (einige Quellen nennen ~6,9 Mio. $), als ein Angreifer das plvGLP-Wechselkurs-Orakel manipulierte. Lodestar akzeptierte plvGLP (Plutus' auto-compoundenden GLP-Wrapper) als Sicherheit und bepreiste es, indem es den Zustand des GLP-Pools direkt las — ein Wert, den der Angreifer innerhalb einer einzigen Transaktion verschieben konnte.

Was geschah

Lodestar war ein Compound-artiger Kreditmarkt. Es akzeptierte plvGLP als Sicherheit und leitete den USD-Wert von plvGLP aus dem GLP-Token-Wechselkurs ab, den es durch das Lesen des GMX-GLP-Pool-Zustands berechnete.

Der fatale Fehler: Die plvGLP-Wechselkursberechnung las manipulierbaren On-Chain-Pool-Zustand anstelle eines manipulationsresistenten Orakels. Der GLP-Preis konnte vorübergehend von jedem mit genügend Kapital aufgebläht werden, um den relevanten GMX-Pool zu bewegen.

Der Angriff:

  1. Erwarb und hinterlegte plvGLP als Sicherheit bei Lodestar.
  2. Manipulierte den zugrundeliegenden GLP-Wechselkurs durch Interaktion mit dem GMX-GLP-Pool, sodass Lodestars plvGLP-Preislesung nach oben gedrückt wurde.
  3. Mit der aufgeblähten Sicherheitenbewertung wurden im Wesentlichen alle leihbaren Reserven von Lodestar geliehen — USDC, ETH und andere Vermögenswerte — gegen das überbewertete plvGLP.
  4. Verschwand, wobei Lodestar mit plvGLP-Sicherheiten zurückblieb, die weit weniger wert waren als die dadurch besicherten Kredite.

Gesamte Beute: ungefähr 6,5 Mio. $.

Folgen

  • Lodestar pausierte die Märkte und bot dem Angreifer eine Belohnung für die Rückgabe der Mittel an.
  • Der Angreifer reagierte nicht; die Mittel wurden gewaschen.
  • Der plvGLP-Markt von Lodestar erholte sich nie; das allgemeine Ansehen des Protokolls wurde erheblich beschädigt.

Warum es wichtig ist

Lodestar Finance ist ein klarer Fall für die wiederkehrende Regel, dass Sicherheitenbepreisung niemals manipulierbaren Pool-Zustand direkt lesen darf. Der plvGLP/GLP-Bewertungspfad war ein Orakel in allem außer Robustheit — er produzierte einen Preis, aber einen Preis, den jeder gut kapitalisierte Angreifer in derselben Transaktion bewegen konnte, in der er ihn ausnutzte.

Das strukturelle Muster ist im gesamten Katalog identisch:

  • Cream Finance — las yUSD-Preis direkt von Yearn.
  • Vee Finance — einzelner Pangolin-Pool für Sicherheitenbepreisung.
  • Moola Market — verwendete internen MOO-Preis für MOO-Sicherheiten.
  • Lodestar Finance — las plvGLP/GLP-Wechselkurs aus manipulierbarem Pool-Zustand.

Jeder ist dieselbe Lektion — das Orakel ist die Vertrauensgrenze, und ein Orakel, das Spot-Pool-Zustand liest, ist kein Orakel, sondern ein vom Angreifer kontrollierter Rechner — neu gelernt von einem anderen Protokoll auf einer anderen Chain (hier Arbitrum Ende 2022, als das L2-DeFi-Ökosystem schnell expandierte und Ethereums frühere Fehler wiederholte). Die defensive Antwort — TWAP, externe Feeds, Abweichungsschutz, Liquiditätsuntergrenzen — war Jahre vor Lodestars Launch gut dokumentiert.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-lodestar-finance-hack-december-2022
  2. [02]crypto.newshttps://crypto.news/defi-protocol-lodestar-finance-hacked-in-flash-loan-attack/
  3. [03]news.bitcoin.comhttps://news.bitcoin.com/hacker-steals-6-9-million-from-arbitrum-based-defi-protocol-lodestar-finance/

Verwandte Einträge