Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 116Manipulation d'oracle

Oracle plvGLP de Lodestar Finance

Lodestar sur Arbitrum a perdu 6,5 M$ après manipulation de l'oracle plvGLP, lisant l'état du pool GLP, pour gonfler la garantie et vider les réserves.

Date
Victime
Lodestar Finance
Chaîne(s)
Arbitrum
Statut
Fonds dérobés

Le 10 décembre 2022, le protocole de prêt Arbitrum Lodestar Finance a perdu environ 6,5 millions de dollars (certaines sources évoquent ~6,9 M$) lorsqu'un attaquant a manipulé l'oracle du taux de change plvGLP. Lodestar acceptait le plvGLP (le wrapper GLP auto-composé de Plutus) comme garantie, et le valorisait en lisant directement l'état du pool GLP — une valeur que l'attaquant pouvait déplacer en une seule transaction.

Ce qui s'est passé

Lodestar était un marché de prêt de style Compound. Il acceptait le plvGLP comme garantie et dérivait la valeur en USD du plvGLP à partir du taux de change du jeton GLP, qu'il calculait en lisant l'état du pool GLP de GMX.

La faille fatale : le calcul du taux de change plvGLP lisait l'état manipulable du pool on-chain plutôt qu'un oracle résistant à la manipulation. Le prix de GLP pouvait être temporairement gonflé par quiconque disposait d'un capital suffisant pour déplacer le pool GMX concerné.

L'attaque :

  1. Acquisition et dépôt de plvGLP comme garantie sur Lodestar.
  2. Manipulation du taux de change GLP sous-jacent en interagissant avec le pool GLP de GMX de manière à faire monter la lecture du prix plvGLP de Lodestar.
  3. Avec la valorisation gonflée de la garantie, emprunt de la quasi-totalité des réserves prêtables de Lodestar — USDC, ETH et autres actifs — contre le plvGLP surévalué.
  4. Disparition, laissant Lodestar avec une garantie plvGLP valant bien moins que les prêts qu'elle adossait.

Extraction totale : environ 6,5 M$.

Conséquences

  • Lodestar a mis en pause les marchés et a offert à l'attaquant une prime pour la restitution des fonds.
  • L'attaquant n'a pas répondu ; les fonds ont été blanchis.
  • Le marché plvGLP de Lodestar ne s'est jamais rétabli ; la réputation globale du protocole a été gravement endommagée.

Pourquoi c'est important

Lodestar Finance est un cas net de la règle récurrente selon laquelle la valorisation des garanties ne doit jamais lire directement l'état manipulable d'un pool. La chaîne de valorisation plvGLP/GLP était un oracle en tout sauf en robustesse — elle produisait un prix, mais un prix que tout attaquant bien capitalisé pouvait déplacer dans la même transaction où il l'exploitait.

Le schéma structurel est identique à travers le catalogue :

  • Cream Finance — lecture directe du prix yUSD depuis Yearn.
  • Vee Finance — pool Pangolin unique pour la valorisation des garanties.
  • Moola Market — utilisation du prix interne MOO pour la garantie MOO.
  • Lodestar Finance — lecture du taux de change plvGLP/GLP depuis un état de pool manipulable.

Chacun est la même leçon — l'oracle est la frontière de confiance, et un oracle qui lit l'état spot d'un pool n'est pas un oracle, c'est une calculatrice que l'attaquant contrôle — réapprise par un protocole différent sur une chaîne différente (ici, Arbitrum fin 2022, alors que l'écosystème DeFi L2 se développait rapidement et répétait les erreurs antérieures d'Ethereum). La réponse défensive — TWAP, flux externes, garde-fous de déviation, planchers de liquidité — était bien documentée des années avant la mise en production de Lodestar.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-lodestar-finance-hack-december-2022
  2. [02]crypto.newshttps://crypto.news/defi-protocol-lodestar-finance-hacked-in-flash-loan-attack/
  3. [03]news.bitcoin.comhttps://news.bitcoin.com/hacker-steals-6-9-million-from-arbitrum-based-defi-protocol-lodestar-finance/

Dépôts liés