Podľa posmrtnej analýzy poskytnutej spoločnosťou CertiK o zneužití Lodestar Finance v hodnote 5.8 milióna dolárov, ku ktorému došlo 10. decembra,
5. Hacker spálil niečo cez 3 milióny v GLP, ich zisk z tohto exploitu boli ukradnuté prostriedky na Lodestar – mínus GLP, ktoré spálili.
6. 2.8 milióna GLP je vymožiteľných, čo má hodnotu približne 2.4 milióna dolárov. Ideme osloviť hackera a...
— Lodestar Finance (,) (@LodestarFinance) Decembra 10, 2022
V podobnom prípade CertiK uviedol, že hackeri Lodestar Finance „umelo napumpovali cenu nelikvidného kolaterálového aktíva, na ktoré si potom požičiavali, a ponechali protokol s nenávratným dlhom“.
„Napriek tomu, že niektoré straty sú potenciálne vymáhateľné, protokol je momentálne funkčne insolventný a používatelia sú vyzvaní, aby nesplácali žiadne pôžičky, ktoré si vzali.“
K útoku došlo prostredníctvom zraniteľnosti v tokene plvGLP PlutusDAO na Lodestar. Podľa svojej dokumentácie spoločnosť Lodestar „používa overené a bezpečné kanály cien Chainlink pre každé aktívum, ktoré ponúka, s výnimkou plvGLP“. Namiesto toho sa výmenný kurz plvGLP k GLP spoliehal na celkové aktíva vydelené celkovou ponukou na Lodestar.
Ako vysvetlil CertiK, vykorisťovateľ najprv 1,500. decembra financoval ich peňaženku 8 70 étermi (ETH), ktoré si potom zobrali osem flashloanov v celkovej hodnote približne 1.00 miliónov USD v minciach USD (USDC), obalených éteroch (wETH) a DAI (DAI) o dva dni neskôr. To posunulo výmenný kurz plvGLP k GLP na 1.83:XNUMX, čo znamenalo, že vykorisťovateľ si mohol z protokolu požičať ešte viac aktív.
Pôžičky rýchlo spotrebovali všetku likviditu na platforme, čo viedlo k tomu, že hacker previedol prostriedky z Lodestaru a používateľom zostali nedobytné dlhy. Odhaduje sa, že vykorisťovateľ zarobil prostredníctvom vektora útoku celkovo 6.9 milióna dolárov.
„Zatiaľ čo Lodestar oslovuje vykorisťovateľa v snahe vyjednať odmenu za chyby ex post facto, prostriedky budú pravdepodobne väčšinou nedobytné. Ak neexistuje poistný fond, ktorý by mohol pokryť straty, náklady na zneužitie znášajú používatelia platformy.“
CertiK varoval, že útok „je skôr výsledkom nedostatkov v návrhu protokolu než chyby v kóde inteligentnej zmluvy“. Bezpečnostná firma pre blockchain ďalej zdôraznila, že Lodestar bol spustený bez auditu, a teda bez kontroly návrhu protokolu treťou stranou.
Zdroj: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik