Arbitrum : le protocole Lodestar victime de la même attaque que Mango Markets ?
Un sentiment de déjà-vu ? – Le protocole DeFi Lodestar Finance a été la cible d’une attaque. Au total, l’attaquant a réussi à dérober 6,5 millions de dollars, soit l’ensemble des liquidités du protocole. Quelques jours après les faits, il semblerait qu’il ait utilisé le même mode opératoire que le hacker de Mango Markets.
Lodestar Finance : toute sa fortune envolée
Le 10 décembre, le protocole Lodestar Finance a annoncé avoir été victime d’une attaque. Le protocole hébergé sur Arbitrum a rapidement identifié que cette attaque avait été menée via une manipulation d’oracle.
Une fois son attaque menée, le hacker a empoché environ 6,5 millions de dollars qu’il a transférés sur Ethereum avant de les répartir sur trois adresses.
Évidemment, les équipes de Lodestar ont entamé une tentative de négociation qui n’a, pour le moment, pas abouti.
Les détails de l’attaque : comme un air de Mango Markets
Deux jours après les faits, l’entreprise Certik spécialisée dans la sécurité blockchain a publié un post-mortem revenant sur le déroulement de l’attaque. En pratique, l’attaquant a contracté un total de 8 flash loans pour mener son attaque. Cela représente environ 70 millions de dollars.
L’attaque s’est déroulée en plusieurs étapes :
- L’attaquant a déposé l’équivalent de 70 millions de dollars sur le protocole ;
- Il a emprunté des PlGLP et les a ensuite déposés pour obtenir des lplsGLP à plusieurs reprises jusqu’à contrôler la quasi-totalité de l’offre en circulation ;
- Celui-ci a ensuite profité d’une vulnérabilité dans les calculs de l’oracle pour gonfler artificiellement la valeur de son dépôt ;
- Une fois le prix de ses actifs gonflé, l’attaquant a pu emprunter l’ensemble des liquidités du protocole, laissant Lodestar insolvable ;
- Il a ensuite pu rembourser l’ensemble de ses flash loans, avant d’échanger les actifs restants contre 4 527 ETH.
Comme souligné par Certik, c’est la troisième fois en peu de temps que nous sommes témoins de ce type d’attaque :
« C’est le troisième incident que nous avons vu récemment qui suit ce type de schéma. Le premier concernait Mango Markets, qui a entraîné une perte de 116 millions de dollars. Le second concernait Moola Markets, il a entraîné une perte de 7,8 millions de dollars. Avec la faille sur Lodestar, nous avons vu un total de 130,3 millions de dollars perdus à cause de ce type d’exploit. »
De surcroît, une attaque assez similaire avait ciblé le protocole Aave. Heureusement, dans ce dernier cas, les dégâts avaient pu être contenus et le protocole avait essuyé une mauvaise dette de « seulement » 1,3 million de dollars.
Les catastrophes et les hacks, ça n’arrive pas qu’aux autres ! Il vaut mieux ne jamais confier la sécurité de vos cryptomonnaies à un tiers. Pour dormir l’esprit tranquille, équipez-vous d’un wallet hardware sécurisé Ledger, il y en a pour toutes les bourses. Votre sécurité n’a pas de prix (lien commercial).