Prema post-mortem analizi koju je pružio CertiK o eksploataciji Lodestar Finance vrijednoj 5.8 milijuna dolara koja se dogodila 10. prosinca,
5. Haker je spalio nešto više od 3 milijuna u GLP-u, njihov profit na ovom exploitu bila su ukradena sredstva na Lodestaru – minus GLP koji su spalili.
6. 2.8 milijuna GLP-a je nadoknadivo, što vrijedi oko 2.4 milijuna dolara. Doprijet ćemo do hakera i...
— Lodestar Finance (,) (@LodestarFinance) Prosinac 10, 2022
U sličnom slučaju, CertiK je rekao da su hakeri Lodestar Financea "umjetno pumpali cijenu nelikvidne kolateralne imovine protiv koje su zatim posuđivali, ostavljajući protokol s nepovratnim dugom."
"Unatoč tome što su neki gubici potencijalno nadoknadivi, protokol je trenutno funkcionalno nesolventan, a korisnike se poziva da ne otplaćuju zajmove koje su uzeli."
Napad se dogodio kroz ranjivost u PlutusDAO-ovom plvGLP tokenu na Lodestaru. Prema svojoj dokumentaciji, Lodestar "koristi provjerene, sigurne izvore cijena Chainlink za svaku imovinu koju nudi s iznimkom plvGLP-a." Umjesto toga, tečaj plvGLP-a prema GLP-u oslanjao se na ukupnu imovinu podijeljenu s ukupnom opskrbom na Lodestaru.
Kako je objasnio CertiK, eksploatator je 1,500. prosinca prvi put napunio svoj novčanik s 8 Ethera (ETH), a zatim je podigao osam flash zajmova za ukupno oko 70 milijuna dolara vrijednih USD Coin (USDC), omotanog Ethera (wETH) i DAI (DAI) dva dana kasnije. To je podiglo tečaj plvGLP-a prema GLP-u na 1.00:1.83, što je značilo da je eksploatator mogao posuditi još više sredstava iz protokola.
Posudbe su brzo potrošile svu likvidnost na platformi, navodeći hakera da prebaci sredstva iz Lodestara i ostavlja korisnike s lošim dugovanjima. Procjenjuje se da je eksploatator zaradio ukupno 6.9 milijuna dolara profita putem vektora napada.
“Dok Lodestar dopire do eksploatatora u pokušaju da pregovara o nagradi za bugove ex post facto, sredstva će vjerojatno biti uglavnom nepovratna. U nedostatku fonda osiguranja koji može pokriti gubitke, korisnici platforme snose troškove iskorištavanja.”
CertiK je upozorio da je napad "rezultat nedostataka u dizajnu protokola, a ne greške u njegovom kodu pametnog ugovora." Sigurnosna tvrtka za blockchain dodatno je istaknula da je Lodestar pokrenut bez revizije, i stoga, bez pregleda dizajna protokola treće strane.
Izvor: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik