Vastavalt CertiK-i esitatud surmajärgsele analüüsile 5.8. detsembril toimunud 10 miljoni dollari suuruse Lodestar Finance'i ärakasutamise kohta,
5. Häkker põletas GLP-s veidi üle 3 miljoni, nende kasum sellelt ärakasutamiselt oli Lodestari varastatud raha – miinus nende põletatud GLP.
6. 2.8 miljonit GLP-st on tagastatav, mis on umbes 2.4 miljonit dollarit. Pöördume häkkeri poole ja…
— Lodestar Finance (,) (@LodestarFinance) Detsember 10, 2022
Sarnasel juhul ütles CertiK, et Lodestar Finance'i häkkerid "pumpasid kunstlikult mittelikviidse tagatisvara hinna, mille vastu nad seejärel laenavad, jättes protokollile tagastamatu võla."
"Hoolimata sellest, et mõned kahjud on potentsiaalselt hüvitatavad, on protokoll praegu funktsionaalselt maksejõuetu ja kasutajaid kutsutakse üles mitte ühtegi võetud laenu tagasi maksma."
Rünnak toimus Lodestari PlutusDAO plvGLP-märgi haavatavuse kaudu. Oma dokumentatsiooni kohaselt kasutab Lodestar kontrollitud ja turvalisi Chainlinki hinnavooge iga pakutava vara jaoks, välja arvatud plvGLP. Selle asemel põhines plvGLP ja GLP vahetuskurss koguvarade jagamisel Lodestari kogupakkumisega.
Nagu CertiK selgitas, rahastas ekspluateerija oma rahakotti esmalt 1,500. detsembril 8 eetriga (ETH), kes seejärel võttis kaheksa välklaenu kokku ligikaudu 70 miljoni dollari väärtuses USD Coin (USDC), pakkis eetri (wETH) ja DAI (DAI) kaks päeva hiljem. See viis plvGLP ja GLP vahetuskursi tasemele 1.00:1.83, mis tähendas, et ärakasutaja sai protokollist veelgi rohkem varasid laenata.
Laenud kulutasid kiiresti kogu platvormi likviidsuse, mistõttu häkker kandis raha Lodestarist välja ja jätsid kasutajad halbade võlgade alla. Hinnanguliselt teenis ärakasutaja ründevektori kaudu kokku 6.9 miljonit dollarit kasumit.
"Kuigi Lodestar pöördub ärakasutaja poole, et leppida kokku vigade hüvitamise üle ex post facto, on raha tõenäoliselt enamjaolt kättesaamatu. Kui puudub kindlustusfond, mis saaks kahjusid katta, kannavad platvormi kasutajad ekspluateerimise kulud.
CertiK hoiatas, et rünnak on pigem protokolli kujunduse vigade kui selle nutika lepingukoodi vea tagajärg. Plokiahela turvafirma rõhutas veel, et Lodestar käivitas ilma auditita ja seega ilma kolmanda osapoole protokolli kujunduse ülevaatamiseta.
Allikas: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik