CertiK:n toimittaman post mortem -analyysin mukaan 5.8 miljoonan dollarin Lodestar Financen hyväksikäyttöä, joka tapahtui 10. joulukuuta,
5. Hakkeri poltti hieman yli 3 miljoonaa GLP:tä, heidän voittonsa tästä hyväksikäytöstä oli Lodestarin varastetut varat – vähennettynä heidän polttamansa GLP:llä.
6. 2.8 miljoonaa GLP:stä on palautettavissa, mikä on noin 2.4 miljoonaa dollaria. Otamme yhteyttä hakkeriin ja…
— Lodestar Finance (,) (@LodestarFinance) Joulukuu 10, 2022
Samanlaisessa tapauksessa CertiK sanoi, että Lodestar Financen hakkerit "pumppasivat keinotekoisesti epälikvidin vakuusomaisuuden hinnan, jota he sitten lainaavat, jättäen pöytäkirjaan peruuttamattoman velan."
"Vaikka osa tappioista voidaan korvata, protokolla on tällä hetkellä toiminnallisesti maksukyvytön, ja käyttäjiä kehotetaan olemaan maksamatta ottamiaan lainoja takaisin."
Hyökkäys tapahtui PlutusDAO:n Lodestarin plvGLP-tunnuksen haavoittuvuuden kautta. Asiakirjojensa mukaan Lodestar "käyttää vahvistettuja, turvallisia Chainlink-hintasyötteitä jokaiselle tarjoamalleen omaisuudelle plvGLP:tä lukuun ottamatta". Sen sijaan plvGLP:n vaihtokurssi GLP:hen perustui taseen loppusummaan jaettuna Lodestarin kokonaistarjouksella.
Kuten CertiK selitti, hyväksikäyttäjä rahoitti lompakkoaan ensin 1,500 Etherillä (ETH) 8. joulukuuta, minkä jälkeen hän otti kahdeksan flashlainaa yhteensä noin 70 miljoonan dollarin arvosta USDC-kolikoita (USDC), käärittynä Etherin (wETH) ja DAI (DAI) kaksi päivää myöhemmin. Tämä ajoi plvGLP:n vaihtokurssin GLP:hen arvoon 1.00:1.83, mikä tarkoitti, että hyödyntäjä pystyi lainaamaan vielä enemmän omaisuutta protokollasta.
Lainat veivät nopeasti kaiken likviditeetin alustalla, mikä johti hakkerin siirtämään varoja Lodestarista ja jättäen käyttäjille luottotappiot. On arvioitu, että hyväksikäyttäjä teki yhteensä 6.9 miljoonan dollarin voittoa hyökkäysvektorin kautta.
"Vaikka Lodestar tavoittelee hyväksikäyttäjää yrittääkseen neuvotella bugipalkkion jälkikäteen, varat ovat todennäköisesti enimmäkseen peruuttamattomia. Jos vakuutusrahastoa ei ole, joka voi kattaa tappiot, alustan käyttäjät vastaavat hyväksikäytön kustannuksista."
CertiK varoitti, että hyökkäys "on seurausta protokollan suunnitteluvirheistä eikä sen älykkään sopimuskoodin virheestä". Lohkoketjun tietoturvayritys korosti lisäksi, että Lodestar aloitti toimintansa ilman auditointia ja siten ilman kolmannen osapuolen tarkastusta protokollasuunnittelusta.
Lähde: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik