Remiantis „CertiK“ pateikta 5.8 mln. USD vertės Lodestar Finance išnaudojimo, įvykusio gruodžio 10 d.
5. Įsilaužėlis sudegino šiek tiek daugiau nei 3 milijonus GLP, jų pelnas iš šio išnaudojimo buvo pavogtos lėšos iš Lodestar – atėmus jų sudegintą GLP.
6. 2.8 milijono GLP galima susigrąžinti, tai yra apie 2.4 milijono JAV dolerių. Mes susisieksime su įsilaužėliu ir…
— „Lodestar Finance“ (,) (@LodestarFinance) Gruodis 10, 2022
Panašiu atveju „CertiK“ teigė, kad „Lodestar Finance“ įsilaužėliai „dirbtinai išpumpavo nelikvidaus užstato, už kurį jie pasiskolino, kainą, palikdami protokolą neatšaukiamą skolą“.
„Nepaisant kai kurių nuostolių, kuriuos galima susigrąžinti, protokolas šiuo metu yra funkcionaliai nemokus, todėl vartotojai raginami negrąžinti jokių paimtų paskolų.
Ataka įvyko dėl PlutusDAO plvGLP prieigos rakto pažeidžiamumo Lodestar. Remiantis savo dokumentais, „Lodestar“ „naudoja patikrintus, saugius grandinės nuorodos kainų kanalus kiekvienam siūlomam turtui, išskyrus plvGLP“. Vietoj to, plvGLP ir GLP keitimo kursas priklausė nuo viso turto, padalinto iš bendros Lodestar pasiūlos.
Kaip paaiškino CertiK, išnaudotojas pirmiausia finansavo savo piniginę 1,500 eterio (ETH) gruodžio 8 d., tada jis paėmė aštuonias greitas paskolas už iš viso maždaug 70 mln. DAI (DAI) po dviejų dienų. Dėl to plvGLP ir GLP kursas buvo 1.00:1.83, o tai reiškė, kad išnaudotojas galėjo pasiskolinti dar daugiau turto iš protokolo.
Paskolos greitai sunaudojo visą platformos likvidumą, todėl įsilaužėlis pervedė lėšas iš „Lodestar“, o vartotojai turėjo blogų skolų. Skaičiuojama, kad išnaudotojas per atakos vektorių iš viso uždirbo 6.9 mln.
„Nors Lodestar susisiekia su išnaudotoju, bandydama ex post facto susitarti dėl kompensacijos už klaidas, lėšos greičiausiai bus neatgautinos. Nesant draudimo fondo, galinčio padengti nuostolius, platformos naudotojai padengia eksploatavimo išlaidas.
„CertiK“ perspėjo, kad ataka „yra protokolo dizaino trūkumų, o ne išmaniojo sutarties kodo klaida“. „Blockchain“ saugos įmonė taip pat pabrėžė, kad „Lodestar“ pradėjo veikti be audito, taigi ir be trečiosios šalies protokolo projekto peržiūros.
Šaltinis: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik