Согласно патологоанатомическому анализу эксплойта Lodestar Finance стоимостью 5.8 млн долларов, предоставленного CertiK и произошедшего 10 декабря,
5. Хакер сжег чуть более 3 миллионов GLP, их прибыль от этого эксплойта составила украденные средства на Lodestar – за вычетом сожженных ими GLP.
6. 2.8 миллиона GLP подлежат возмещению, что составляет около 2.4 миллиона долларов США. Мы собираемся связаться с хакером и…
— Lodestar Finance (,) (@LodestarFinance) 10 декабря 2022
В аналогичном случае CertiK заявила, что хакеры Lodestar Finance «искусственно завышали цену неликвидного залогового актива, под который они затем брали кредиты, оставляя протокол с безвозвратным долгом».
«Несмотря на то, что некоторые потери потенциально могут быть возмещены, протокол сейчас функционально неплатежеспособен, и пользователей призывают не возвращать взятые ими кредиты».
Атака произошла из-за уязвимости в токене plvGLP PlutusDAO на Lodestar. Согласно документации, Lodestar «использует проверенные и безопасные ценовые каналы Chainlink для каждого предлагаемого актива, за исключением plvGLP». Вместо этого обменный курс plvGLP к GLP зависел от общей суммы активов, разделенной на общую сумму предложения на Lodestar.
Как пояснил CertiK, эксплойтер сначала пополнил свой кошелек 1,500 эфирами (ETH) 8 декабря, а затем взял восемь флэш-займов на общую сумму около 70 миллионов долларов США в монетах (USDC), обернул эфир (wETH) и ДАИ (DAI) два дня спустя. Это привело к тому, что обменный курс plvGLP к GLP составил 1.00:1.83, а это означало, что эксплуататор смог занять еще больше активов у протокола.
Заимствования быстро поглотили всю ликвидность на платформе, в результате чего хакер вывел средства из Lodestar и оставил пользователей с безнадежными долгами. По оценкам, эксплуататор заработал в общей сложности 6.9 миллиона долларов прибыли благодаря вектору атаки.
«Хотя Lodestar обращается к эксплуататору, пытаясь договориться о вознаграждении за обнаружение ошибок постфактум, средства, скорее всего, окажутся в основном невозвратными. В отсутствие страхового фонда, способного покрыть убытки, стоимость эксплойта несут пользователи платформы».
CertiK предупредила, что атака «является результатом недостатков конструкции протокола, а не ошибки в коде его смарт-контракта». Фирма, занимающаяся безопасностью блокчейнов, также подчеркнула, что Lodestar запустился без аудита и, следовательно, без сторонней проверки конструкции своего протокола.
Источник: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik