Σύμφωνα με μια μεταθανάτια ανάλυση που παρασχέθηκε από το CertiK για την εκμετάλλευση των 5.8 εκατομμυρίων δολαρίων Lodestar Finance που έλαβε χώρα στις 10 Δεκεμβρίου,
5. Ο χάκερ έκαψε λίγο περισσότερα από 3 εκατομμύρια σε GLP, το κέρδος του από αυτό το exploit ήταν τα κλεμμένα κεφάλαια στο Lodestar – μείον το GLP που έκαψαν.
6. 2.8 εκατομμύρια του GLP είναι ανακτήσιμα, το οποίο αξίζει περίπου 2.4 εκατομμύρια δολάρια. Θα απευθυνθούμε στον χάκερ και…
— Lodestar Finance (,) (@LodestarFinance) Δεκέμβριος 10, 2022
Σε παρόμοιο παράδειγμα, η CertiK είπε ότι οι χάκερ της Lodestar Finance «άντλησαν τεχνητά την τιμή ενός μη ρευστοποιήσιμου περιουσιακού στοιχείου, το οποίο στη συνέχεια δανείζονται, αφήνοντας το πρωτόκολλο με ανεπανόρθωτο χρέος».
«Παρά το γεγονός ότι ορισμένες από τις απώλειες είναι δυνητικά ανακτήσιμες, το πρωτόκολλο είναι λειτουργικά αφερέγγυο αυτή τη στιγμή και οι χρήστες καλούνται να μην αποπληρώσουν τυχόν δάνεια που έχουν λάβει».
Η επίθεση σημειώθηκε μέσω μιας ευπάθειας στο διακριτικό plvGLP του PlutusDAO στο Lodestar. Σύμφωνα με την τεκμηρίωσή της, η Lodestar «χρησιμοποιεί επαληθευμένες, ασφαλείς ροές τιμών Chainlink για κάθε περιουσιακό στοιχείο που προσφέρει, με εξαίρεση το plvGLP». Αντίθετα, η συναλλαγματική ισοτιμία plvGLP προς GLP βασίστηκε στο σύνολο των περιουσιακών στοιχείων διαιρεμένο με τη συνολική προσφορά στο Lodestar.
Όπως εξηγήθηκε από το CertiK, ο εκμεταλλευτής χρηματοδότησε αρχικά το πορτοφόλι του με 1,500 Ether (ETH) στις 8 Δεκεμβρίου, ο οποίος στη συνέχεια πήρε οκτώ flashloans για συνολική αξία περίπου 70 εκατομμυρίων δολαρίων USD Coin (USDC), περιτυλιγμένο Ether (wETH) και DAI (DAI) δύο μέρες αργότερα. Αυτό οδήγησε τη συναλλαγματική ισοτιμία plvGLP προς GLP στο 1.00:1.83, πράγμα που σήμαινε ότι ο εκμεταλλευτής ήταν σε θέση να δανειστεί ακόμη περισσότερα περιουσιακά στοιχεία από το πρωτόκολλο.
Τα δάνεια κατανάλωσαν γρήγορα όλη τη ρευστότητα στην πλατφόρμα, οδηγώντας τον χάκερ να μεταφέρει τα κεφάλαια από το Lodestar και αφήνοντας τους χρήστες με επισφαλή χρέη. Υπολογίζεται ότι ο εκμεταλλευτής είχε συνολικά κέρδη 6.9 εκατομμυρίων δολαρίων μέσω του φορέα επίθεσης.
«Ενώ η Lodestar προσεγγίζει τον εκμεταλλευτή σε μια προσπάθεια να διαπραγματευτεί εκ των υστέρων ένα bounty bug, τα κεφάλαια είναι πιθανό να είναι ως επί το πλείστον μη ανακτήσιμα. Ελλείψει ασφαλιστικού ταμείου που να μπορεί να καλύψει τις ζημίες, οι χρήστες της πλατφόρμας επιβαρύνονται με το κόστος του exploit».
Η CertiK προειδοποίησε ότι η επίθεση «είναι το αποτέλεσμα ελαττωμάτων στη σχεδίαση του πρωτοκόλλου και όχι σφάλμα στον κώδικα έξυπνης σύμβασης». Η εταιρεία ασφάλειας blockchain τόνισε περαιτέρω ότι η Lodestar ξεκίνησε χωρίς έλεγχο και, ως εκ τούτου, χωρίς επανεξέταση του σχεδιασμού του πρωτοκόλλου της από τρίτους.
Πηγή: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik