Saskaņā ar CertiK sniegto pēcnāves analīzi par 5.8 miljonu dolāru Lodestar Finance ļaunprātīgu izmantošanu, kas notika 10. decembrī,
5. Hakeris sadedzināja nedaudz vairāk par 3 miljoniem GLP, viņu peļņa no šī izlietojuma bija Lodestar nozagtie līdzekļi, no kuriem atskaitīta viņu sadedzinātā GLP.
6. 2.8 miljoni no GLP ir atgūstami, kas ir aptuveni 2.4 miljoni USD. Mēs sazināsimies ar hakeru un…
— Lodestar Finance (,) (@LodestarFinance) Decembris 10, 2022
Līdzīgā gadījumā CertiK teica, ka Lodestar Finance hakeri "mākslīgi izsūknēja nelikvīda ķīlas aktīva cenu, pret kuru viņi pēc tam aizņemas, atstājot protokolu ar neatgriezenisku parādu".
"Neskatoties uz dažiem zaudējumiem, kas ir potenciāli atgūstami, protokols šobrīd ir funkcionāli maksātnespējīgs, un lietotāji tiek mudināti nemaksāt nekādus aizdevumus, ko viņi ir paņēmuši."
Uzbrukums notika, pateicoties ievainojamībai PlutusDAO plvGLP pilnvarā Lodestar. Saskaņā ar tā dokumentāciju Lodestar “izmanto pārbaudītas, drošas ķēdes saites cenu plūsmas katram īpašumam, ko tas piedāvā, izņemot plvGLP”. Tā vietā plvGLP maiņas kurss pret GLP balstījās uz kopējiem aktīviem, kas dalīti ar kopējo piedāvājumu Lodestar.
Kā paskaidroja CertiK, izmantotājs 1,500. decembrī vispirms finansēja savu maku ar 8 Ether (ETH), kurš pēc tam paņēma astoņus zibatmiņas kredītus par kopējo summu aptuveni 70 miljonu USD vērtībā USD monētu (USDC), iesaiņoja Ether (wETH) un DAI (DAI) divas dienas vēlāk. Tas izraisīja plvGLP maiņas kursu pret GLP līdz 1.00:1.83, kas nozīmēja, ka izmantotājs varēja aizņemties vēl vairāk līdzekļu no protokola.
Aizņēmumi ātri patērēja visu platformas likviditāti, kā rezultātā hakeris pārskaitīja līdzekļus no Lodestar un atstāja lietotājiem sliktus parādus. Tiek lēsts, ka ekspluatētājs, izmantojot uzbrukuma vektoru, kopumā guvis peļņu 6.9 miljonu dolāru apmērā.
"Lai gan Lodestar sazinās ar izmantotāju, cenšoties vienoties par kļūdu atlīdzību ex post facto, līdzekļi, visticamāk, lielākoties būs neatgūstami. Ja nav apdrošināšanas fonda, kas varētu segt zaudējumus, platformas lietotāji sedz ekspluatācijas izmaksas.
CertiK brīdināja, ka uzbrukums "ir protokola dizaina nepilnību rezultāts, nevis kļūda tā viedajā līguma kodā." Blokķēdes drošības firma arī uzsvēra, ka Lodestar sāka darbu bez audita un līdz ar to bez trešās puses protokola dizaina pārbaudes.
Avots: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik