Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 116Manipulación de oráculo

Oráculo plvGLP de Lodestar Finance

Lodestar en Arbitrum perdió $6,5 M tras manipular el oráculo plvGLP, que leía el estado del pool GLP directamente, para inflar colateral y vaciar reservas.

Fecha
Víctima
Lodestar Finance
Cadena(s)
Arbitrum
Estado
Fondos robados

El 10 de diciembre de 2022, el protocolo de préstamos en Arbitrum Lodestar Finance perdió aproximadamente $6,5 millones (algunas fuentes citan ~$6,9 M) cuando un atacante manipuló el oráculo del tipo de cambio plvGLP. Lodestar aceptaba plvGLP (el wrapper de GLP auto-compuesto de Plutus) como colateral, y lo valoraba leyendo directamente el estado del pool GLP — un valor que el atacante podía mover en una sola transacción.

Qué ocurrió

Lodestar era un mercado de préstamos al estilo Compound. Aceptaba plvGLP como colateral y derivaba el valor en USD del plvGLP a partir del tipo de cambio del token GLP, que calculaba leyendo el estado del pool GLP de GMX.

La falla fatal: el cálculo del tipo de cambio plvGLP leía el estado manipulable del pool on-chain en lugar de un oráculo resistente a la manipulación. El precio de GLP podía inflarse temporalmente por cualquiera con capital suficiente para mover el pool GMX correspondiente.

El ataque:

  1. Adquirió y depositó plvGLP como colateral en Lodestar.
  2. Manipuló el tipo de cambio GLP subyacente interactuando con el pool GLP de GMX de forma que elevara la lectura del precio plvGLP de Lodestar.
  3. Con la valoración inflada del colateral, tomó prestadas prácticamente todas las reservas prestables de Lodestar — USDC, ETH y otros activos — contra el plvGLP sobrevalorado.
  4. Se marchó, dejando a Lodestar con un colateral plvGLP que valía mucho menos que los préstamos que respaldaba.

Extracción total: aproximadamente $6,5 M.

Consecuencias

  • Lodestar pausó los mercados y ofreció al atacante una recompensa por la devolución de los fondos.
  • El atacante no respondió; los fondos fueron blanqueados.
  • El mercado plvGLP de Lodestar nunca se recuperó; la reputación general del protocolo quedó gravemente dañada.

Por qué importa

Lodestar Finance es un caso claro de la regla recurrente de que el precio del colateral nunca debe leer directamente el estado manipulable de un pool. La ruta de valoración plvGLP/GLP era un oráculo en todo menos en robustez — producía un precio, pero un precio que cualquier atacante con capital suficiente podía mover en la misma transacción en la que lo explotaba.

El patrón estructural es idéntico en todo el catálogo:

  • Cream Finance — leyó el precio de yUSD directamente de Yearn.
  • Vee Finance — un único pool de Pangolin para el precio del colateral.
  • Moola Market — usó el precio interno de MOO para el colateral MOO.
  • Lodestar Finance — leyó el tipo de cambio plvGLP/GLP desde el estado manipulable del pool.

Cada uno es la misma lección — el oráculo es la frontera de confianza, y un oráculo que lee el estado spot de un pool no es un oráculo, es una calculadora que el atacante controla — reaprendida por un protocolo diferente en una cadena diferente (aquí, Arbitrum a finales de 2022, mientras el ecosistema DeFi en L2 se expandía rápidamente y repetía los errores anteriores de Ethereum). La respuesta defensiva — TWAP, feeds externos, guardas de desviación, mínimos de liquidez — estaba bien documentada años antes del lanzamiento de Lodestar.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-lodestar-finance-hack-december-2022
  2. [02]crypto.newshttps://crypto.news/defi-protocol-lodestar-finance-hacked-in-flash-loan-attack/
  3. [03]news.bitcoin.comhttps://news.bitcoin.com/hacker-steals-6-9-million-from-arbitrum-based-defi-protocol-lodestar-finance/

Registros relacionados