Conform unei analize post-mortem furnizată de CertiK a exploatării Lodestar Finance de 5,8 milioane USD care a avut loc pe 10 decembrie,
5. Hackerul a ars GPL în valoare de puțin peste 3 milioane, profitul lor din această exploatare a fost fondurile furate la Lodestar, minus GPL pe care l-au ars.
6. 2,8 milioane de GPL sunt recuperabile, ceea ce este echivalent cu aproximativ 2,4 milioane USD. Vom contacta hackerul și…
– Lodestar Finance (,) (@LodestarFinance) 10 decembrie 2022
Într-un caz similar, CertiK a spus că hackerii Lodestar Finance „au umflat în mod artificial prețul unui activ colateral ilichid pentru care apoi l-au împrumutat, lăsând protocolul cu o datorie neperformantă”.
„Deși unele dintre pierderi sunt potențial recuperabile, protocolul este insolvabil din punct de vedere funcțional în acest moment, iar utilizatorii sunt îndemnați să nu ramburseze niciun împrumut pe care l-au contractat”.
Atacul a avut loc printr-o vulnerabilitate a jetonului plvGLP al PlutusDAO din Lodestar. Conform documentației sale, Lodestar „folosește surse de preț Chainlink verificate și sigure pentru fiecare activ pe care îl oferă, cu excepția plvGLP”. În schimb, cursul de schimb de la plvLPG la GPL sa bazat pe activele totale împărțite la oferta totală la Lodestar.
După cum a explicat CertiK, exploatatorul și-a finanțat mai întâi portofelul cu 1.500 de Ether (ETH) pe 8 decembrie, apoi a luat opt împrumuturi flash în valoare totală de aproximativ 70 de milioane de dolari în monede USD (USDC), a inclus Ether (wETH) și DAI (DAI). ) două zile mai târziu. Acest lucru a adus cursul de schimb plvGLP la GLP la 1.00:1.83, ceea ce a însemnat că exploatatorul a putut să împrumute și mai multe active din protocol.
Împrumuturile au consumat rapid toată lichiditatea de pe platformă, determinând hackerul să transfere fondurile din Lodestar, lăsând utilizatorii cu datorii neperformante. Se estimează că exploatatorul a realizat un profit total de 6,9 milioane USD prin vectorul de atac.
„În timp ce Lodestar se apropie de exploatator în încercarea de a negocia o recompensă ex post facto pentru erori, este posibil ca fondurile să fie în mare parte irecuperabile. În absența unui fond de asigurare care să poată acoperi pierderile, utilizatorii platformei își asumă costul faptei. “.
CertiK a avertizat că atacul „este rezultatul unor defecte de proiectare a protocolului, mai degrabă decât o eroare în codul său de contract inteligent”. Firma de securitate blockchain a subliniat în continuare că Lodestar s-a lansat fără un audit și, prin urmare, fără o revizuire de către terți a designului protocolului său.
Source link
