Manipulation plvGLP de Lodestar Finance

Le 10 décembre 2022, la plateforme de prêt Arbitrum Lodestar Finance a été exploitée pour environ 6,5 millions de dollars via une manipulation de l'oracle du token plvGLP (Plutus-locked-GLP). L'attaquant a utilisé huit prêts flash totalisant ~70,5 millions de dollars et exploité le fait que l'oracle de Lodestar ne tenait pas compte d'une fonction donate() publique sur le contrat GlpDepositor sous-jacent qui gonflait les actifs sans minter de nouvelles shares.

Ce qui s'est passé

Lodestar acceptait plvGLP — une version wrapped/locked du token GLP de GMX gérée par Plutus — comme collatéral. L'oracle du protocole calculait le prix du plvGLP depuis les actifs rapportés par le contrat GlpDepositor, divisés par l'offre totale de tokens plvGLP.

L'omission fatale : la fonction donate() sur le contrat GlpDepositor laissait n'importe qui envoyer du GLP directement au contrat sans minter de nouvelles shares plvGLP. L'oracle, lisant « actifs divisés par offre », interprétait le GLP donné comme une augmentation proportionnelle de la valeur par share du plvGLP — même si la donation ne bénéficiait pas réellement aux détenteurs plvGLP existants.

L'attaque :

1. Prêt flash de ~70,5 M$ sur huit prêts séparés.
2. Donation d'une grande quantité de GLP directement au contrat GlpDepositor via donate(), gonflant ses actifs sans créer de nouvelles shares plvGLP.
3. L'oracle de Lodestar, lisant le ratio actifs-sur-offre gonflé, a recalculé le taux d'échange plvGLP à 1,83 GLP par plvGLP — 83 % au-dessus du taux légitime.
4. Dépôt de plvGLP comme collatéral à la valorisation gonflée.
5. Emprunt de chaque actif disponible que Lodestar avait à prêter — USDC, ETH, BTC, etc. — contre le collatéral surévalué.
6. Départ sans rembourser, laissant le protocole avec du plvGLP sans valeur surévalué comme seul backing pour les prêts volés.
7. Remboursement des prêts flash et empoche la différence : ~6,5 M$.

Conséquences

• Lodestar a mis en pause les marchés affectés en quelques heures.
• L'équipe a annoncé qu'environ 2,4 M$ du GLP volé était récupérable via la coopération de Plutus ; cela a été distribué aux déposants comme remboursement partiel.
• Le reste a été blanchi via Tornado Cash et routes similaires.
• L'exploit a accéléré la reconnaissance à l'échelle de l'industrie des attaques par donation comme vulnérabilité de design d'oracle critique pour tout token dont le prix est calculé depuis un contrat qui accepte des dépôts arbitraires.

Pourquoi c'est important

L'incident Lodestar est un cas d'étude propre pour la classe de vulnérabilité attaque par donation — un pattern qui se répète partout où un oracle de prix lit « actifs divisés par offre » d'un contrat auquel quelqu'un peut donner sans minter de shares :

• Hundred Finance (avr. 2023) — attaque par donation sur fork Compound v2.
• Sonne Finance (mai 2024) — attaque par donation sur fork Compound v2.
• Lodestar (déc. 2022) — attaque par donation via le GlpDepositor de Plutus.

Les patterns défensifs :

1. Utiliser des lectures d'oracle cachées ou pondérées dans le temps plutôt que des calculs instantanés « actifs divisés par offre ».
2. Vérifier que les changements de solde du contrat sous-jacent correspondent à ses changements de shares — tout dépôt qui ne mint pas de shares ne devrait pas bouger l'oracle.
3. Auditer les dépendances d'oracle de chaque nouvel actif de collatéral, y compris toute fonction sur le sous-jacent qui peut bouger les soldes indépendamment de l'émission de shares.

Le pattern Lodestar a été ré-appris tant de fois qu'il est désormais sur essentiellement chaque checklist d'audit DeFi ; les protocoles qui livrent encore avec la vulnérabilité auditent inadéquatement ou sautent les audits sur les ajouts de collatéral.