จากการวิเคราะห์หลังชันสูตรโดย CertiK ของการใช้ประโยชน์จาก Lodestar Finance มูลค่า 5.8 ล้านดอลลาร์ที่เกิดขึ้นเมื่อวันที่ 10 ธันวาคม
5. แฮ็กเกอร์เผา GLP ไปกว่า 3 ล้านเล็กน้อย กำไรของพวกเขาจากช่องโหว่นี้คือเงินที่ถูกขโมยไปบน Lodestar – ลบด้วย GLP ที่พวกเขาเผา
6. สามารถกู้คืน GLP ได้ 2.8 ล้าน ซึ่งมีมูลค่าประมาณ 2.4 ล้านดอลลาร์ เราจะติดต่อแฮ็กเกอร์และ...
— การเงิน Lodestar (,) (@LodestarFinance) December 10, 2022
ในกรณีที่คล้ายกัน CertiK กล่าวว่าแฮ็กเกอร์ Lodestar Finance “ปั๊มราคาของสินทรัพย์ค้ำประกันที่ไม่มีสภาพคล่องโดยเทียมซึ่งพวกเขายืมมา ทิ้งโปรโตคอลไว้กับหนี้ที่แก้ไขไม่ได้”
“แม้ว่าความสูญเสียบางส่วนอาจสามารถกู้คืนได้ แต่โปรโตคอลก็ใช้งานไม่ได้ในขณะนี้ และผู้ใช้จะถูกกระตุ้นให้ไม่ชำระคืนเงินกู้ใด ๆ ที่พวกเขาได้ออกไป”
การโจมตีเกิดขึ้นผ่านช่องโหว่ในโทเค็น plvGLP ของ PlutusDAO บน Lodestar ตามเอกสาร Lodestar “ใช้ฟีดราคา Chainlink ที่ปลอดภัยและได้รับการยืนยันสำหรับทุกสินทรัพย์ที่นำเสนอ ยกเว้น plvGLP” อัตราแลกเปลี่ยนของ plvGLP เป็น GLP นั้นขึ้นอยู่กับสินทรัพย์ทั้งหมดหารด้วยอุปทานทั้งหมดบน Lodestar
ตามที่อธิบายโดย CertiK ผู้แสวงประโยชน์ได้เติมเงินในกระเป๋าเงินของพวกเขาด้วย 1,500 Ether (ETH) ในวันที่ 8 ธันวาคม จากนั้นจึงนำ flashloan แปดรายการ รวมมูลค่าประมาณ 70 ล้านดอลลาร์เป็น USD Coin (USDC) รวมเป็น Ether (wETH) และ DAI (DAI) สองวันต่อมา สิ่งนี้ผลักดันให้อัตราแลกเปลี่ยนของ plvGLP เป็น GLP เป็น 1.00:1.83 ซึ่งหมายความว่าผู้โจมตีสามารถยืมทรัพย์สินจากโปรโตคอลได้มากขึ้น
การกู้ยืมใช้สภาพคล่องทั้งหมดบนแพลตฟอร์มอย่างรวดเร็ว ทำให้แฮ็กเกอร์โอนเงินออกจาก Lodestar และทำให้ผู้ใช้มีหนี้สูญ คาดว่าผู้โจมตีสามารถทำกำไรได้ทั้งหมด 6.9 ล้านดอลลาร์จากเวกเตอร์การโจมตี
“ในขณะที่ Lodestar กำลังติดต่อกับผู้แสวงประโยชน์เพื่อพยายามเจรจาต่อรองค่าหัวบั๊กโดยพฤตินัย แต่เงินส่วนใหญ่มักจะไม่สามารถกู้คืนได้ ในกรณีที่ไม่มีกองทุนประกันที่สามารถครอบคลุมความสูญเสียได้ ผู้ใช้แพลตฟอร์มจะต้องแบกรับค่าใช้จ่ายในการแสวงประโยชน์”
CertiK เตือนว่าการโจมตี “เป็นผลจากข้อบกพร่องในการออกแบบโปรโตคอล มากกว่าข้อบกพร่องในรหัสสัญญาอัจฉริยะ” บริษัทรักษาความปลอดภัยบล็อกเชนเน้นย้ำว่า Lodestar เปิดตัวโดยไม่มีการตรวจสอบ ดังนั้นจึงไม่มีการตรวจสอบการออกแบบโปรโตคอลโดยบุคคลที่สาม
ที่มา: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik