5.8 დეკემბერს მომხდარი Lodestar Finance-ის 10 მილიონი დოლარის ღირებულების CertiK-ის მიერ მოწოდებული სიკვდილის შემდგომი ანალიზის მიხედვით,
5. ჰაკერმა დაწვა 3 მილიონზე ცოტა მეტი GLP-ში, მათი მოგება ამ ექსპლოიტიდან იყო Lodestar-ზე მოპარული თანხები – მათ მიერ დაწვეული GLP-ის გამოკლებით.
6. GLP-ის 2.8 მილიონი ამოსაღებია, რაც დაახლოებით $2.4 მილიონი ღირს. ჩვენ ვაპირებთ მივუდგეთ ჰაკერს და…
— Lodestar Finance (,) (@LodestarFinance) დეკემბერი 10, 2022
მსგავს შემთხვევაში, CertiK-მა თქვა, რომ Lodestar Finance-ის ჰაკერებმა „ხელოვნურად გაიტანეს არალიკვიდური გირაოს აქტივის ფასი, რომელიც შემდეგ სესხულობენ, რის შედეგადაც პროტოკოლი გამოუსწორებელი დავალიანებით ტოვებს“.
„მიუხედავად იმისა, რომ ზოგიერთი ზარალი პოტენციურად ანაზღაურებადია, პროტოკოლი ამჟამად ფუნქციურად გადახდისუუნაროა და მომხმარებლებს მოუწოდებენ არ გადაიხადონ მათ მიერ აღებული სესხები“.
შეტევა მოხდა PlutusDAO-ს plvGLP ტოკენის დაუცველობის გამო Lodestar-ზე. მისი დოკუმენტაციის თანახმად, Lodestar „იყენებს დამოწმებულ, უსაფრთხო Chainlink-ის ფასების არხებს ყველა აქტივისთვის, რომელსაც სთავაზობს, გარდა plvGLP-ისა“. ამის ნაცვლად, plvGLP-ის გაცვლითი კურსი GLP-ის მიმართ ეყრდნობოდა მთლიან აქტივებს, გაყოფილი Lodestar-ის მთლიან მიწოდებაზე.
როგორც CertiK-მა განმარტა, ექსპლუატატორმა პირველად დააფინანსა მათი საფულე 1,500 ეთერით (ETH) 8 დეკემბერს, რომელმაც შემდეგ აიღო რვა ფლეშ სესხი, საერთო ჯამში დაახლოებით 70 მილიონი აშშ დოლარის ღირებულების აშშ დოლარის მონეტა (USDC), შეფუთული ეთერი (wETH) და DAI (DAI) ორი დღის შემდეგ. ამან მიიყვანა plvGLP-ის გაცვლითი კურსი GLP-მდე 1.00:1.83-მდე, რაც იმას ნიშნავდა, რომ ექსპლუატატორს შეეძლო კიდევ უფრო მეტი აქტივების სესხება პროტოკოლიდან.
სესხებმა სწრაფად მოიხმარა მთელი ლიკვიდობა პლატფორმაზე, რის გამოც ჰაკერმა თანხები Lodestar-დან გადაიტანა და მომხმარებლებს ცუდი დავალიანება დაუტოვა. შეფასებულია, რომ ექსპლუატატორმა შეტევის ვექტორის მეშვეობით სულ 6.9 მილიონი დოლარის მოგება მიიღო.
„მიუხედავად იმისა, რომ Lodestar მიმართავს ექსპლუატატორს, რათა მოლაპარაკება მოახდინოს შეცდომების თაობაზე ex post facto, თანხები, სავარაუდოდ, უმეტესად მიუღებელია. სადაზღვევო ფონდის არარსებობის შემთხვევაში, რომელსაც შეუძლია ზარალის დაფარვა, პლატფორმის მომხმარებლები იღებენ ექსპლოიტის ღირებულებას“.
CertiK-მა გააფრთხილა, რომ თავდასხმა „პროტოკოლის დიზაინში არსებული ხარვეზების შედეგია და არა მისი ჭკვიანი კონტრაქტის კოდის შეცდომის შედეგი“. ბლოკჩეინის უსაფრთხოების ფირმამ ასევე ხაზი გაუსვა, რომ Lodestar-მა დაიწყო აუდიტის გარეშე და, შესაბამისად, მისი პროტოკოლის დიზაინის მესამე მხარის განხილვის გარეშე.
წყარო: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik