Ifølge en post mortem-analyse leveret af CertiK af Lodestar Finance-udnyttelsen på 5.8 millioner dollars, der fandt sted den 10. december,
5. Hackeren brændte lidt over 3 millioner i GLP, deres fortjeneste på denne udnyttelse var de stjålne midler på Lodestar - minus den GLP de brændte.
6. 2.8 millioner af GLP kan inddrives, hvilket er omkring 2.4 millioner dollars værd. Vi vil nå ud til hackeren og...
— Lodestar Finance (,) (@LodestarFinance) 10. December, 2022
I et lignende tilfælde sagde CertiK, at Lodestar Finance-hackere "kunstigt pumpede prisen på et illikvidt sikkerhedsstillelsesaktiv, som de derefter låner mod, og efterlader protokollen med uoprettelig gæld."
"På trods af, at nogle af tabene potentielt kan inddrives, er protokollen funktionelt insolvent lige nu, og brugerne bliver opfordret til ikke at tilbagebetale de lån, de har optaget."
Angrebet skete gennem en sårbarhed i PlutusDAO's plvGLP-token på Lodestar. Ifølge sin dokumentation bruger Lodestar "verificerede, sikre Chainlink-prisfeeds for hvert aktiv, det tilbyder med undtagelse af plvGLP." I stedet var vekselkursen mellem plvGLP og GLP baseret på samlede aktiver divideret med det samlede udbud på Lodestar.
Som forklaret af CertiK finansierede udnytteren først deres pung med 1,500 Ether (ETH) den 8. december, som derefter optog otte flashlån for i alt cirka 70 millioner USD USD Coin (USDC), indpakket Ether (wETH) og DAI (DAI) to dage senere. Dette drev kursen på plvGLP til GLP til 1.00:1.83, hvilket betød, at udnytteren var i stand til at låne endnu flere aktiver fra protokollen.
Lånene tærede hurtigt al likviditet på platformen, hvilket førte til, at hackeren overførte midlerne fra Lodestar og efterlod brugere med dårlig gæld. Det anslås, at udnytteren tjente i alt 6.9 millioner dollars i overskud gennem angrebsvektoren.
“Mens Lodestar kontakter udnytteren i et forsøg på at forhandle en bug-bounty ex post facto, er midlerne sandsynligvis for det meste uinddrivelige. I mangel af en forsikringsfond, der kan dække tabene, afholder brugere af platformen omkostningerne ved udnyttelsen."
CertiK advarede om, at angrebet "er resultatet af fejl i protokollens design snarere end en fejl i dens smarte kontraktkode." Blockchain-sikkerhedsfirmaet fremhævede yderligere, at Lodestar lancerede uden en revision og derfor uden en tredjepartsgennemgang af dets protokoldesign.
Kilde: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik