A CertiK által a december 5.8-én történt 10 millió dolláros Lodestar Finance kizsákmányolásról készített post mortem elemzés szerint
5. A hacker valamivel több mint 3 milliót égetett el a GLP-ben, a nyereségük ebből a kizsákmányolásból a Lodestar ellopott pénze volt – mínusz az általuk elégetett GLP.
6. A GLP-ből 2.8 millió visszafizethető, ami körülbelül 2.4 millió dollárt tesz ki. El fogjuk érni a hackert, és…
— Lodestar Finance (,) (@LodestarFinance) December 10, 2022
Egy hasonló esetben a CertiK azt mondta, hogy a Lodestar Finance hackerei „mesterségesen pumpálták egy nem likvid fedezeti eszköz árát, amely ellen aztán kölcsönt vesznek fel, így a protokoll visszafizethetetlen tartozást hagyott hátra”.
"Annak ellenére, hogy a veszteségek egy része potenciálisan megtéríthető, a protokoll jelenleg funkcionálisan fizetésképtelen, és arra kérik a felhasználókat, hogy ne fizessék vissza a felvett hiteleket."
A támadás a PlutusDAO Lodestar plvGLP tokenjének sebezhetőségén keresztül történt. Dokumentációi szerint a Lodestar „ellenőrzött, biztonságos Chainlink ártáblázatokat használ minden általa kínált eszközhöz, kivéve a plvGLP-t”. Ehelyett a plvGLP és a GLP közötti árfolyam a teljes vagyon elosztásán alapult a Lodestar teljes kínálatával.
Amint azt a CertiK kifejtette, a kizsákmányoló először december 1,500-án finanszírozta pénztárcáját 8 Etherrel (ETH), majd nyolc gyorskölcsönt vett fel összesen körülbelül 70 millió dollár értékű USD Coin (USDC) értékben, Ethert (wETH) csomagolt, és DAI (DAI) két nappal később. Ez a plvGLP és a GLP árfolyamát 1.00:1.83-ra hajtotta, ami azt jelentette, hogy a kizsákmányoló még több eszközt kölcsönözhetett a protokollból.
A kölcsönök gyorsan felemésztették a platform összes likviditását, aminek következtében a hackerek átutalták a pénzt a Lodestarból, és a felhasználók rossz adósságot hagytak maguk után. Becslések szerint a kizsákmányoló összesen 6.9 millió dollár nyereséget ért el a támadási vektor révén.
„Míg a Lodestar felkeresi a kizsákmányolót, hogy megpróbáljon utólagosan kialkudni egy hibajavaslatot, az alapok valószínűleg többnyire behajthatatlanok. A veszteségek fedezésére alkalmas biztosítási alap hiányában a platform felhasználói viselik a kiaknázás költségeit.”
A CertiK arra figyelmeztetett, hogy a támadás „a protokoll tervezési hibáinak eredménye, nem pedig az intelligens szerződéskód hibája”. A blokklánc-biztonsági cég továbbá kiemelte, hogy a Lodestar auditálás nélkül indult, így a protokoll kialakításának harmadik fél általi felülvizsgálata nélkül.
Forrás: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik