Enligt en obduktionsanalys från CertiK av Lodestar Finance-exploatet på 5.8 miljoner dollar som inträffade den 10 december,
5. Hackaren brände lite över 3 miljoner i GLP, deras vinst på denna exploatering var de stulna medlen på Lodestar – minus GLP de brände.
6. 2.8 miljoner av GLP kan återvinnas, vilket är värt cirka 2.4 miljoner USD. Vi kommer att nå ut till hackaren och...
— Lodestar Finance (,) (@LodestarFinance) December 10, 2022
I ett liknande fall sa CertiK att Lodestar Finance-hackare "artificiellt pumpade priset på en illikvid säkerhetstillgång som de sedan lånar mot, vilket lämnar protokollet med oåterkallelig skuld."
"Trots att vissa av förlusterna är potentiellt återvinningsbara är protokollet funktionellt insolvent just nu, och användare uppmanas att inte betala tillbaka några lån de har tagit."
Attacken inträffade genom en sårbarhet i PlutusDAO:s plvGLP-token på Lodestar. Enligt dess dokumentation använder Lodestar "verifierade, säkra Chainlink-prisflöden för varje tillgång som den erbjuder med undantag för plvGLP." I stället förlitade sig växelkursen för plvGLP till GLP på totala tillgångar dividerat med totala utbudet på Lodestar.
Som förklarats av CertiK finansierade exploatören först sin plånbok med 1,500 8 Ether (ETH) den 70 december, som sedan tog ut åtta flashlån för totalt cirka $1.00 miljoner USD Coin (USDC), insvept Ether (wETH) och DAI (DAI) två dagar senare. Detta drev växelkursen för plvGLP till GLP till 1.83:XNUMX, vilket innebar att exploatören kunde låna ännu fler tillgångar från protokollet.
Upplåningen förbrukade snabbt all likviditet på plattformen, vilket ledde till att hackaren överförde pengarna från Lodestar och lämnade användarna med osäkra fordringar. Det uppskattas att exploatören gjorde totalt 6.9 miljoner dollar i vinst genom attackvektorn.
"Medan Lodestar når ut till exploatören i ett försök att förhandla fram en buggpremie i efterhand, kommer pengarna sannolikt till största delen inte att kunna återställas. I avsaknad av en försäkringsfond som kan täcka förlusterna står användarna av plattformen för kostnaden för exploateringen.”
CertiK varnade att attacken "är resultatet av brister i protokollets design snarare än en bugg i dess smarta kontraktskod." Blockchain-säkerhetsföretaget betonade vidare att Lodestar lanserades utan en revision, och därför utan en tredjepartsgranskning av dess protokolldesign.
Källa: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik