Според анализ след смъртта, предоставен от CertiK на експлойта на Lodestar Finance за $5.8 милиона, извършен на 10 декември,
5. Хакерът изгори малко над 3 милиона в GLP, тяхната печалба от този експлойт беше откраднатите средства на Lodestar – минус GLP, който изгориха.
6. 2.8 милиона от GLP могат да бъдат възстановени, което струва около 2.4 милиона долара. Ще се свържем с хакера и...
— Lodestar Finance (,) (@LodestarFinance) Декември 10, 2022
В подобен случай CertiK каза, че хакерите на Lodestar Finance „изкуствено са увеличили цената на неликвиден обезпечителен актив, срещу който след това са взели назаем, оставяйки протокола с невъзвратим дълг“.
„Въпреки че някои от загубите са потенциално възстановими, протоколът е функционално неплатежоспособен в момента и потребителите са призовани да не изплащат заеми, които са взели.“
Атаката се случи чрез уязвимост в plvGLP токена на PlutusDAO на Lodestar. Според неговата документация, Lodestar „използва проверени, сигурни ценови емисии на Chainlink за всеки актив, който предлага, с изключение на plvGLP.“ Вместо това обменният курс на plvGLP към GLP разчита на общите активи, разделени на общото предлагане на Lodestar.
Както е обяснено от CertiK, експлоататорът първо е финансирал портфейла си с 1,500 Ether (ETH) на 8 декември, който след това е изтеглил осем флаш кредита на обща стойност приблизително $70 милиона USD Coin (USDC), опакован Ether (wETH) и DAI (DAI) два дни по-късно. Това доведе до обменния курс на plvGLP към GLP до 1.00:1.83, което означаваше, че експлоататорът успя да заеме още повече активи от протокола.
Заемите бързо изконсумираха цялата ликвидност на платформата, което накара хакера да прехвърли средствата от Lodestar и остави потребителите с лоши дългове. Изчислено е, че експлоататорът е направил общо $6.9 милиона печалби чрез вектора на атаката.
„Докато Lodestar се свързва с експлоататора в опит да договори награда за грешки постфактум, средствата вероятно ще бъдат почти невъзстановими. При липса на застрахователен фонд, който може да покрие загубите, потребителите на платформата поемат разходите за експлойта.“
CertiK предупреди, че атаката „е резултат от недостатъци в дизайна на протокола, а не от грешка в кода на неговия интелигентен договор“. Фирмата за сигурност на блокчейн освен това подчерта, че Lodestar е стартирала без одит и следователно без преглед от трета страна на неговия дизайн на протокола.
Източник: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik