Sipas një analize pas vdekjes të siguruar nga CertiK për shfrytëzimin prej 5.8 milionë dollarësh Lodestar Finance që ndodhi më 10 dhjetor,
5. Hakeri dogji pak më shumë se 3 milionë në GLP, fitimi i tyre në këtë shfrytëzim ishin fondet e vjedhura në Lodestar – minus GLP që dogjën.
6. 2.8 milion nga GLP janë të rikuperueshme, që kap vlerën e rreth 2.4 milion dollarë. Ne do të kontaktojmë hakerin dhe…
— Lodestar Finance (,) (@LodestarFinance) Dhjetor 10, 2022
Në një rast të ngjashëm, CertiK tha se hakerët e Lodestar Finance "pompuan artificialisht çmimin e një aktivi kolateral jolikuid ndaj të cilit ata më pas marrin hua, duke e lënë protokollin me borxh të pakthyeshëm".
“Pavarësisht se disa nga humbjet janë potencialisht të rikuperueshme, protokolli është funksionalisht i falimentuar tani dhe përdoruesit po u kërkohet të mos paguajnë asnjë kredi që kanë marrë.”
Sulmi ndodhi përmes një cenueshmërie në tokenin plvGLP të PlutusDAO në Lodestar. Sipas dokumentacionit të tij, Lodestar "përdor burime të çmimeve të verifikuara dhe të sigurta të Chainlink për çdo aktiv që ofron, me përjashtim të plvGLP". Në vend të kësaj, kursi i këmbimit të plvGLP ndaj GLP u mbështet në totalin e aktiveve të pjestuar me ofertën totale në Lodestar.
Siç shpjegohet nga CertiK, shfrytëzuesi financoi fillimisht portofolin e tyre me 1,500 Ether (ETH) më 8 dhjetor, i cili më pas mori tetë kredi flash për një total prej rreth 70 milionë dollarësh monedhë USD (USDC), eter të mbështjellë (wETH) dhe DAI (DAI) dy ditë më vonë. Kjo çoi kursin e këmbimit të plvGLP në GLP në 1.00:1.83, që do të thoshte se shfrytëzuesi ishte në gjendje të merrte hua edhe më shumë aktive nga protokolli.
Huazimet konsumuan shpejt të gjithë likuiditetin në platformë, duke bërë që hakeri të transferonte fondet nga Lodestar dhe duke i lënë përdoruesit me borxhe të këqija. Vlerësohet se shfrytëzuesi ka realizuar gjithsej 6.9 milionë dollarë fitime përmes vektorit të sulmit.
“Ndërsa Lodestar është duke kontaktuar shfrytëzuesin në një përpjekje për të negociuar një shpërblim të defektit ex post facto, fondet ka të ngjarë të jenë kryesisht të parikuperueshme. Në mungesë të një fondi sigurimi që mund të mbulojë humbjet, përdoruesit e platformës përballojnë koston e shfrytëzimit.”
CertiK paralajmëroi se sulmi "është rezultat i të metave në dizajnin e protokollit dhe jo një gabim në kodin e tij të kontratës inteligjente". Firma e sigurisë së blockchain theksoi më tej se Lodestar u lançua pa një auditim dhe, për rrjedhojë, pa një rishikim nga palët e treta të dizajnit të protokollit të tij.
Burimi: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik