Technika

Įsilaužėliai nukopijavo „Mango Markets“ užpuoliko metodus, kad galėtų išnaudoti „Lodestar“: CertiK

12/12/2022
„Bitcoin Ethereum“ naujienos

Remiantis „CertiK“ pateikta 5.8 mln. USD vertės Lodestar Finance išnaudojimo, įvykusio gruodžio 10 d. 

Panašiu atveju „CertiK“ teigė, kad „Lodestar Finance“ įsilaužėliai „dirbtinai išpumpavo nelikvidaus užstato, už kurį jie pasiskolino, kainą, palikdami protokolą neatšaukiamą skolą“.

„Nepaisant kai kurių nuostolių, kuriuos galima susigrąžinti, protokolas šiuo metu yra funkcionaliai nemokus, todėl vartotojai raginami negrąžinti jokių paimtų paskolų.

Ataka įvyko dėl PlutusDAO plvGLP prieigos rakto pažeidžiamumo Lodestar. Remiantis savo dokumentais, „Lodestar“ „naudoja patikrintus, saugius grandinės nuorodos kainų kanalus kiekvienam siūlomam turtui, išskyrus plvGLP“. Vietoj to, plvGLP ir GLP keitimo kursas priklausė nuo viso turto, padalinto iš bendros Lodestar pasiūlos.

Kaip paaiškino CertiK, išnaudotojas pirmiausia finansavo savo piniginę 1,500 eterio (ETH) gruodžio 8 d., tada jis paėmė aštuonias greitas paskolas už iš viso maždaug 70 mln. DAI (DAI) po dviejų dienų. Dėl to plvGLP ir GLP kursas buvo 1.00:1.83, o tai reiškė, kad išnaudotojas galėjo pasiskolinti dar daugiau turto iš protokolo.

Paskolos greitai sunaudojo visą platformos likvidumą, todėl įsilaužėlis pervedė lėšas iš „Lodestar“, o vartotojai turėjo blogų skolų. Skaičiuojama, kad išnaudotojas per atakos vektorių iš viso uždirbo 6.9 mln.

„Nors Lodestar susisiekia su išnaudotoju, bandydama ex post facto susitarti dėl kompensacijos už klaidas, lėšos greičiausiai bus neatgautinos. Nesant draudimo fondo, galinčio padengti nuostolius, platformos naudotojai padengia eksploatavimo išlaidas.

„CertiK“ perspėjo, kad ataka „yra protokolo dizaino trūkumų, o ne išmaniojo sutarties kodo klaida“. „Blockchain“ saugos įmonė taip pat pabrėžė, kad „Lodestar“ pradėjo veikti be audito, taigi ir be trečiosios šalies protokolo projekto peržiūros.