เทคโนโลยี

แฮ็กเกอร์คัดลอกวิธีการของผู้โจมตี Mango Markets เพื่อใช้ประโยชน์จาก Lodestar: CertiK

12/12/2022
ข่าว Bitcoin Ethereum

จากการวิเคราะห์หลังชันสูตรโดย CertiK ของการใช้ประโยชน์จาก Lodestar Finance มูลค่า 5.8 ล้านดอลลาร์ที่เกิดขึ้นเมื่อวันที่ 10 ธันวาคม 

ในกรณีที่คล้ายกัน CertiK กล่าวว่าแฮ็กเกอร์ Lodestar Finance “ปั๊มราคาของสินทรัพย์ค้ำประกันที่ไม่มีสภาพคล่องโดยเทียมซึ่งพวกเขายืมมา ทิ้งโปรโตคอลไว้กับหนี้ที่แก้ไขไม่ได้”

“แม้ว่าความสูญเสียบางส่วนอาจสามารถกู้คืนได้ แต่โปรโตคอลก็ใช้งานไม่ได้ในขณะนี้ และผู้ใช้จะถูกกระตุ้นให้ไม่ชำระคืนเงินกู้ใด ๆ ที่พวกเขาได้ออกไป”

การโจมตีเกิดขึ้นผ่านช่องโหว่ในโทเค็น plvGLP ของ PlutusDAO บน Lodestar ตามเอกสาร Lodestar “ใช้ฟีดราคา Chainlink ที่ปลอดภัยและได้รับการยืนยันสำหรับทุกสินทรัพย์ที่นำเสนอ ยกเว้น plvGLP” อัตราแลกเปลี่ยนของ plvGLP เป็น GLP นั้นขึ้นอยู่กับสินทรัพย์ทั้งหมดหารด้วยอุปทานทั้งหมดบน Lodestar

ตามที่อธิบายโดย CertiK ผู้แสวงประโยชน์ได้เติมเงินในกระเป๋าเงินของพวกเขาด้วย 1,500 Ether (ETH) ในวันที่ 8 ธันวาคม จากนั้นจึงนำ flashloan แปดรายการ รวมมูลค่าประมาณ 70 ล้านดอลลาร์เป็น USD Coin (USDC) รวมเป็น Ether (wETH) และ DAI (DAI) สองวันต่อมา สิ่งนี้ผลักดันให้อัตราแลกเปลี่ยนของ plvGLP เป็น GLP เป็น 1.00:1.83 ซึ่งหมายความว่าผู้โจมตีสามารถยืมทรัพย์สินจากโปรโตคอลได้มากขึ้น

การกู้ยืมใช้สภาพคล่องทั้งหมดบนแพลตฟอร์มอย่างรวดเร็ว ทำให้แฮ็กเกอร์โอนเงินออกจาก Lodestar และทำให้ผู้ใช้มีหนี้สูญ คาดว่าผู้โจมตีสามารถทำกำไรได้ทั้งหมด 6.9 ล้านดอลลาร์จากเวกเตอร์การโจมตี

“ในขณะที่ Lodestar กำลังติดต่อกับผู้แสวงประโยชน์เพื่อพยายามเจรจาต่อรองค่าหัวบั๊กโดยพฤตินัย แต่เงินส่วนใหญ่มักจะไม่สามารถกู้คืนได้ ในกรณีที่ไม่มีกองทุนประกันที่สามารถครอบคลุมความสูญเสียได้ ผู้ใช้แพลตฟอร์มจะต้องแบกรับค่าใช้จ่ายในการแสวงประโยชน์”

CertiK เตือนว่าการโจมตี “เป็นผลจากข้อบกพร่องในการออกแบบโปรโตคอล มากกว่าข้อบกพร่องในรหัสสัญญาอัจฉริยะ” บริษัทรักษาความปลอดภัยบล็อกเชนเน้นย้ำว่า Lodestar เปิดตัวโดยไม่มีการตรวจสอบ ดังนั้นจึงไม่มีการตรวจสอบการออกแบบโปรโตคอลโดยบุคคลที่สาม