Відповідно до посмертного аналізу, наданого CertiK експлойту Lodestar Finance на 5.8 мільйона доларів, який стався 10 грудня,
5. Хакер спалив трохи більше 3 мільйонів GLP, їхній прибуток від цього експлойту становив вкрадені кошти на Lodestar – мінус GLP, який вони спалили.
6. 2.8 мільйона GLP можна відновити, що коштує близько 2.4 мільйона доларів. Ми збираємось зв’язатися з хакером і…
— Lodestar Finance (,) (@LodestarFinance) 10 Грудня, 2022
У подібному випадку CertiK заявив, що хакери Lodestar Finance «штучно підвищили ціну неліквідного заставного активу, під який вони потім запозичили, залишивши протокол безповоротним боргом».
«Незважаючи на те, що деякі збитки потенційно підлягають відшкодуванню, протокол зараз функціонально неплатоспроможний, і користувачів закликають не повертати позики, які вони взяли».
Атака сталася через уразливість у токені plvGLP PlutusDAO на Lodestar. Згідно з його документацією, Lodestar «використовує перевірені, безпечні канали цін Chainlink для кожного активу, який він пропонує, за винятком plvGLP». Натомість обмінний курс plvGLP до GLP покладався на загальні активи, поділені на загальну пропозицію на Lodestar.
Як пояснив CertiK, 1,500 грудня експлойтер вперше поповнив свій гаманець 8 ефірами (ETH), а потім взяв вісім флеш-позик на загальну суму приблизно 70 мільйонів доларів США в монетах USD (USDC), загорнутому ефірі (wETH) і DAI (ДАІ) через два дні. Це підвищило обмінний курс plvGLP до GLP до 1.00:1.83, що означало, що експлуататор міг запозичити ще більше активів у протоколу.
Позики швидко витратили всю ліквідність на платформі, що призвело до того, що хакер перевів кошти з Lodestar і залишив користувачів безнадійними боргами. За оцінками, експлуататор отримав загалом 6.9 мільйона доларів прибутку через вектор атаки.
«Хоча Lodestar звертається до експлуататора, намагаючись домовитися про винагороду за помилки постфактум, кошти, швидше за все, будуть неповерненими. За відсутності страхового фонду, який міг би покрити збитки, користувачі платформи несуть витрати на експлойт».
CertiK попередив, що атака «є результатом недоліків у дизайні протоколу, а не помилки в коді смарт-контракту». Фірма безпеки блокчейну також підкреслила, що Lodestar був запущений без аудиту, а отже, без сторонньої перевірки дизайну свого протоколу.
Джерело: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik