על פי ניתוח נתיחה שלאחר המוות שסיפקה CertiK של ניצול Lodestar Finance בסך 5.8 מיליון דולר שהתרחש ב-10 בדצמבר,
5. ההאקר שרף קצת יותר מ-3 מיליון ב-GLP, הרווח שלהם על הניצול הזה היה הכספים הגנובים על Lodestar - פחות ה-GLP שהם שרפו.
6. 2.8 מיליון מה-GLP ניתנים להחזרה, ששוויו כ-2.4 מיליון דולר. אנחנו הולכים לפנות אל ההאקר ו...
— Lodestar Finance (,) (@LodestarFinance) דצמבר 10, 2022
במקרה דומה, CertiK אמרה שהאקרים של Lodestar Finance "שאבו באופן מלאכותי את המחיר של נכס בטחונות לא נזילים שאחר כך הם לווים נגדו, והותירו את הפרוטוקול עם חוב בלתי הפיך".
"למרות שחלק מההפסדים פוטנציאליים ניתנים להשבתה, הפרוטוקול חדל פירעון פונקציונלי כרגע, ומשתמשים נקראים לא להחזיר הלוואות שהם לקחו."
המתקפה התרחשה באמצעות פגיעות ב-plvGLP של PlutusDAO ב-Lodestar. לפי התיעוד שלה, Lodestar "משתמשת בהזנות מחיר מאומתות ומאובטחות של Chainlink עבור כל נכס שהיא מציעה למעט plvGLP." במקום זאת, שער החליפין של plvGLP ל-GLP הסתמך על סך הנכסים חלקי ההיצע הכולל ב-Lodestar.
כפי שהוסבר על ידי CertiK, המנצל מימן לראשונה את הארנק שלו ב-1,500 Ether (ETH) ב-8 בדצמבר, ולאחר מכן נטל שמונה הלוואות פלאש בשווי כולל של כ-70 מיליון דולר של מטבע דולר ארה"ב (USDC), Ether עטוף (wETH), ו DAI (DAI) יומיים לאחר מכן. זה העלה את שער החליפין של plvGLP ל-GLP ל-1.00:1.83, מה שאומר שהמנצל הצליח ללוות עוד יותר נכסים מהפרוטוקול.
ההלוואות צרכו במהירות את כל הנזילות בפלטפורמה, מה שהוביל את ההאקר להעביר את הכספים מ-Lodestar והותיר את המשתמשים עם חוב אבוד. ההערכה היא שהמנצל הרוויח סך של 6.9 מיליון דולר ברווחים באמצעות וקטור ההתקפה.
"בעוד שלודסטאר פונה אל המנצל בניסיון לנהל משא ומתן על פרס באג לאחר מעשה, סביר להניח שהכספים לרוב לא ניתנים להשבתה. בהיעדר קרן ביטוח שיכולה לכסות את ההפסדים, משתמשי הפלטפורמה נושאים בעלות הניצול".
CertiK הזהירה כי המתקפה "היא תוצאה של פגמים בתכנון הפרוטוקול ולא באג בקוד החוזה החכם שלו". חברת אבטחת הבלוקצ'יין הדגישה עוד כי Lodestar הושק ללא ביקורת, ולפיכך ללא סקירת צד שלישי של עיצוב הפרוטוקול שלה.
מקור: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik