بر اساس تجزیه و تحلیل پس از مرگ ارائه شده توسط CertiK از سوء استفاده 5.8 میلیون دلاری Lodestar Finance که در 10 دسامبر رخ داد،
5. هکر کمی بیش از 3 میلیون در GLP سوزاند، سود آنها از این سوء استفاده وجوه دزدیده شده در Lodestar بود – منهای GLP که سوزاندند.
6. 2.8 میلیون GLP قابل بازیابی است که حدود 2.4 میلیون دلار ارزش دارد. ما قصد داریم با هکر تماس بگیریم و …
— Lodestar Finance (،) (@LodestarFinance) 10 دسامبر 2022
در یک نمونه مشابه، CertiK گفت که هکرهای Lodestar Finance “به طور مصنوعی قیمت یک دارایی وثیقه غیرنقدی را که در مقابل آن وام می گیرند، پمپ می کنند و پروتکل را با بدهی غیرقابل برگشت باقی می گذارند.”
علیرغم اینکه برخی از زیانها به طور بالقوه قابل جبران هستند، این پروتکل در حال حاضر از نظر عملکردی ورشکسته است و از کاربران خواسته میشود که وامهایی را که گرفتهاند بازپرداخت نکنند.
این حمله از طریق یک آسیب پذیری در توکن plvGLP PlutusDAO در Lodestar رخ داد. طبق مستندات خود، Lodestar “برای هر دارایی که ارائه می دهد به استثنای plvGLP از فیدهای قیمت زنجیره ای تایید شده و ایمن استفاده می کند.” در عوض، نرخ مبادله plvGLP به GLP بر کل دارایی تقسیم بر کل عرضه در Lodestar متکی بود.
همانطور که توسط CertiK توضیح داده شد، بهرهبردار ابتدا کیف پول خود را با 1500 اتر (ETH) در 8 دسامبر تأمین مالی کرد، و سپس هشت وام فلش وام گرفت که در مجموع به ارزش تقریبی 70 میلیون دلار USDC (USDC)، اتر (wETH) پیچیده شده بود. DAI (DAI) دو روز بعد. این باعث شد که نرخ مبادله plvGLP به GLP به 1.00:1.83 برسد، که به این معنی است که بهرهبردار میتواند داراییهای بیشتری را از پروتکل قرض بگیرد.
وامگیریها به سرعت تمام نقدینگی موجود در پلتفرم را مصرف کرد و باعث شد هکر وجوه را به خارج از Lodestar منتقل کند و کاربران را با بدهی بدی مواجه کند. تخمین زده می شود که بهره بردار در مجموع 6.9 میلیون دلار از طریق بردار حمله سود کسب کرده است.
“در حالی که Lodestar در تلاش است تا با بهرهبردار مذاکره کند تا در مورد عیدی باگ بهصورت پسفاکتو مذاکره کند، احتمالاً وجوه عمدتا غیرقابل بازیافت خواهند بود. در غیاب صندوق بیمهای که بتواند خسارتها را پوشش دهد، کاربران پلتفرم هزینه را متحمل میشوند. از بهره برداری.”
CertiK هشدار داد که این حمله “نتیجه نقص در طراحی پروتکل است تا یک اشکال در کد قرارداد هوشمند آن.” شرکت امنیتی بلاک چین همچنین تاکید کرد که Lodestar بدون ممیزی و بنابراین بدون بررسی شخص ثالث طراحی پروتکل خود راه اندازی شده است.