Podle posmrtné analýzy poskytnuté společností CertiK týkající se zneužití Lodestar Finance za 5.8 milionů dolarů, ke kterému došlo 10. prosince,
5. Hacker spálil něco málo přes 3 miliony v GLP, jejich zisk z tohoto exploitu byly ukradené prostředky na Lodestar – mínus GLP, které spálili.
6. 2.8 milionu GLP lze získat zpět, což má hodnotu asi 2.4 milionu dolarů. Oslovíme hackera a…
— Lodestar Finance (,) (@LodestarFinance) 10. prosince 2022
V podobném případě CertiK řekl, že hackeři Lodestar Finance „uměle napumpovali cenu nelikvidního zajišťovacího aktiva, na které si pak půjčili, a zanechali protokol s nenávratným dluhem“.
"Přestože některé ztráty jsou potenciálně vymahatelné, protokol je nyní funkčně insolventní a uživatelé jsou vyzýváni, aby nespláceli žádné půjčky, které si vzali."
K útoku došlo prostřednictvím zranitelnosti v tokenu plvGLP PlutusDAO na Lodestaru. Podle své dokumentace Lodestar „používá ověřené a bezpečné zdroje cen Chainlink pro každé aktivum, které nabízí, s výjimkou plvGLP“. Místo toho se směnný kurz plvGLP k GLP spoléhal na celková aktiva dělená celkovou nabídkou na Lodestar.
Jak vysvětlil CertiK, vykořisťovatel nejprve 1,500. prosince zafinancoval jejich peněženku 8 70 ethery (ETH) a poté si vzal osm flashloanů v celkové hodnotě přibližně 1.00 milionů USD v mincích USD (USDC), obalených etherech (wETH) a DAI (DAI) o dva dny později. To posunulo směnný kurz plvGLP k GLP na 1.83:XNUMX, což znamenalo, že vykořisťovatel si mohl z protokolu vypůjčit ještě více aktiv.
Půjčky rychle spotřebovaly veškerou likviditu na platformě, což vedlo k tomu, že hacker převedl prostředky z Lodestaru a zanechal uživatelům nedobytné dluhy. Odhaduje se, že vykořisťovatel prostřednictvím útočného vektoru vydělal celkem 6.9 milionu dolarů.
„Zatímco Lodestar oslovuje vykořisťovatele ve snaze vyjednat odměnu za chyby ex post facto, finanční prostředky budou pravděpodobně většinou nedobytné. V případě neexistence pojistného fondu, který by mohl pokrýt ztráty, ponesou náklady na zneužití uživatelé platformy.“
CertiK varoval, že útok „je výsledkem nedostatků v návrhu protokolu spíše než chyby v jeho kódu inteligentní smlouvy“. Bezpečnostní firma pro blockchain dále zdůraznila, že Lodestar byl spuštěn bez auditu, a tedy bez kontroly návrhu protokolu třetí stranou.
Zdroj: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik