Conform unei analize post-mortem furnizată de CertiK a exploatării Lodestar Finance de 5.8 milioane de dolari care a avut loc pe 10 decembrie,
5. Hackerul a ars puțin peste 3 milioane în GLP, profitul lor din acest exploit a fost fondurile furate de pe Lodestar – minus GLP-ul pe care l-au ars.
6. 2.8 milioane din GLP sunt recuperabile, care valorează aproximativ 2.4 milioane USD. Vom contacta hackerul și...
— Lodestar Finance (,) (@LodestarFinance) December 10, 2022
Într-un caz similar, CertiK a spus că hackerii Lodestar Finance „au pompat în mod artificial prețul unui activ colateral nelichid pe care apoi îl împrumută, lăsând protocolul cu datorii irecuperabile”.
„În ciuda faptului că unele dintre pierderi pot fi recuperate, protocolul este insolvabil din punct de vedere funcțional în acest moment, iar utilizatorii sunt îndemnați să nu ramburseze niciun împrumut pe care l-au contractat.”
Atacul a avut loc printr-o vulnerabilitate în jetonul plvGLP al PlutusDAO pe Lodestar. Conform documentației sale, Lodestar „folosește fluxuri de preț Chainlink verificate și sigure pentru fiecare activ pe care îl oferă, cu excepția plvGLP”. În schimb, cursul de schimb plvGLP la GLP sa bazat pe activele totale împărțite la oferta totală de pe Lodestar.
După cum a explicat CertiK, exploatatorul și-a finanțat mai întâi portofelul cu 1,500 Ether (ETH) pe 8 decembrie, care apoi a luat opt împrumuturi flash pentru un total de aproximativ 70 de milioane USD în monede USD (USDC), a înfășurat Ether (wETH) și DAI (DAI) două zile mai târziu. Acest lucru a determinat cursul de schimb al plvGLP la GLP la 1.00:1.83, ceea ce a însemnat că exploatatorul a putut să împrumute și mai multe active din protocol.
Împrumuturile au consumat rapid toată lichiditatea de pe platformă, determinând hackerul să transfere fondurile din Lodestar și lăsând utilizatorii cu datorii neperformante. Se estimează că exploatatorul a realizat un profit total de 6.9 milioane de dolari prin intermediul vectorului de atac.
„În timp ce Lodestar se adresează exploatatorului în încercarea de a negocia o recompensă pentru erori ex post facto, este posibil ca fondurile să fie în mare parte irecuperabile. În absența unui fond de asigurare care să poată acoperi pierderile, utilizatorii platformei suportă costul exploatării.”
CertiK a avertizat că atacul „este rezultatul unor defecte în designul protocolului, mai degrabă decât o eroare în codul său de contract inteligent”. Firma de securitate blockchain a subliniat în continuare că Lodestar s-a lansat fără un audit și, prin urmare, fără o revizuire de către terți a designului protocolului său.
Sursa: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik