Згодна з пасмяротным аналізам, праведзеным CertiK, эксплойт Lodestar Finance коштам 5.8 мільёна долараў, які адбыўся 10 снежня,
5. Хакер спаліў крыху больш за 3 мільёны ў GLP, іх прыбытак ад гэтага эксплойту склаў скрадзеныя сродкі на Lodestar - мінус GLP, які яны спалілі.
6. 2.8 мільёна GLP можна аднавіць, што каштуе каля 2.4 мільёна долараў. Мы збіраемся звярнуцца да хакера і...
— Lodestar Finance (,) (@LodestarFinance) Снежань 10, 2022
У аналагічным выпадку CertiK заявіў, што хакеры Lodestar Finance «штучна паднялі цану неліквіднага закладнога актыву, пад які яны потым пазычалі, пакідаючы пратакол з незваротнай запазычанасцю».
«Нягледзячы на тое, што некаторыя страты патэнцыйна кампенсуюцца, пратакол зараз функцыянальна неплацежаздольны, і карыстальнікаў заклікаюць не вяртаць крэдыты, якія яны ўзялі».
Атака адбылася праз уразлівасць у токене plvGLP PlutusDAO на Lodestar. Згодна з дакументацыяй, Lodestar «выкарыстоўвае правераныя, бяспечныя цэнавыя каналы Chainlink для кожнага актыву, які ён прапануе, за выключэннем plvGLP». Замест гэтага абменны курс plvGLP да GLP абапіраўся на агульныя актывы, падзеленыя на агульны аб'ём прапановы на Lodestar.
Як патлумачыў CertiK, 1,500 снежня эксплуататар упершыню папоўніў свой кашалёк 8 эфірамі (ETH), а затым узяў восем флэш-крэдытаў на агульную суму каля 70 мільёнаў долараў манет (USDC), загорнутага эфіру (wETH) і ДАІ (DAI) праз два дні. Гэта павялічыла абменны курс plvGLP да GLP да 1.00:1.83, што азначала, што эксплуататар змог пазычыць яшчэ больш актываў з пратаколу.
Пазыкі хутка паглынулі ўсю ліквіднасць на платформе, у выніку чаго хакер перавёў сродкі з Lodestar і пакінуў карыстальнікаў з безнадзейнай запазычанасцю. Паводле ацэнак, эксплуататар атрымаў у агульнай складанасці 6.9 мільёна долараў прыбытку праз вектар атакі.
«Нягледзячы на тое, што Lodestar звяртаецца да эксплуататара ў спробе дамовіцца постфактум аб ўзнагароджанні за памылку, сродкі, верагодна, будуць у асноўным невярнуць. Пры адсутнасці страхавога фонду, які можа пакрыць страты, карыстальнікі платформы нясуць выдаткі на эксплойт».
CertiK папярэджвае, што атака «з'яўляецца вынікам недахопаў у дызайне пратаколу, а не памылкай у яго смарт-кантрактным кодзе». Фірма па бяспецы блокчейна таксама падкрэсліла, што Lodestar быў запушчаны без аўдыту і, такім чынам, без старонняга агляду дызайну яго пратакола.
Крыніца: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik