Ayon sa pagsusuri sa post-mortem na ibinigay ng CertiK ng $5.8 milyon na pagsasamantala ng Lodestar Finance na naganap noong Disyembre 10,
5. Ang hacker ay nagsunog ng kaunti sa 3 milyon sa GLP, ang kanilang tubo sa pagsasamantalang ito ay ang mga ninakaw na pondo sa Lodestar - binawasan ang GLP na kanilang sinunog.
6. 2.8 Milyon ng GLP ang mababawi, na nagkakahalaga ng humigit-kumulang $2.4 milyon. Aabot kami sa hacker at...
— Lodestar Finance (,) (@LodestarFinance) Disyembre 10, 2022
Sa katulad na pagkakataon, sinabi ng CertiK na ang mga hacker ng Lodestar Finance ay "artipisyal na nagbomba ng presyo ng isang illiquid collateral asset na pagkatapos ay hiniram nila, na iniiwan ang protocol na may hindi na mababawi na utang."
"Sa kabila ng ilan sa mga pagkalugi na posibleng mabawi, ang protocol ay gumagana nang walang bayad sa ngayon, at ang mga gumagamit ay hinihimok na huwag bayaran ang anumang mga pautang na kanilang kinuha."
Naganap ang pag-atake sa pamamagitan ng isang kahinaan sa plvGLP token ng PlutusDAO sa Lodestar. Ayon sa dokumentasyon nito, ang Lodestar ay "gumagamit ng na-verify, secure na mga feed ng presyo ng Chainlink para sa bawat asset na inaalok nito maliban sa plvGLP." Sa halip, ang exchange rate ng plvGLP sa GLP ay umasa sa kabuuang asset na hinati sa kabuuang supply sa Lodestar.
Tulad ng ipinaliwanag ng CertiK, unang pinondohan ng mapagsamantala ang kanilang wallet ng 1,500 Ether (ETH) noong Disyembre 8, na pagkatapos ay kumuha ng walong flashloan para sa kabuuang humigit-kumulang $70 milyon na halaga ng USD Coin (USDC), nakabalot na Ether (wETH), at DAI (DAI) makalipas ang dalawang araw. Dahil dito, ang halaga ng palitan ng plvGLP sa GLP ay naging 1.00:1.83, na nangangahulugan na ang mapagsamantala ay nakahihiram ng higit pang mga asset mula sa protocol.
Mabilis na naubos ng mga paghiram ang lahat ng pagkatubig sa platform, na pinamunuan ng hacker na ilipat ang mga pondo sa labas ng Lodestar at iniwan ang mga user na may masamang utang. Tinataya na ang mapagsamantala ay gumawa ng kabuuang $6.9 milyon na kita sa pamamagitan ng attack vector.
“Habang ang Lodestar ay nakikipag-ugnayan sa mapagsamantala sa pagtatangkang makipag-ayos ng bug bounty ex post facto, ang mga pondo ay malamang na halos hindi na mababawi. Sa kawalan ng isang pondo ng seguro na maaaring masakop ang mga pagkalugi, ang mga gumagamit ng platform ay sasagutin ang halaga ng pagsasamantala.
Nagbabala ang CertiK na ang pag-atake "ay resulta ng mga bahid sa disenyo ng protocol sa halip na isang bug sa smart contract code nito." Ang blockchain security firm ay higit na binigyang diin na ang Lodestar ay inilunsad nang walang pag-audit, at, samakatuwid, nang walang isang third-party na pagsusuri sa disenyo ng protocol nito.
Pinagmulan: https://cointelegraph.com/news/hackers-copyed-mango-markets-attacker-s-methods-to-exploit-lodestar-certik