I følge en post mortem-analyse levert av CertiK av Lodestar Finance-utnyttelsen på 5.8 millioner dollar som fant sted 10. desember,
5. Hackeren brente litt over 3 millioner i GLP, deres fortjeneste på denne utnyttelsen var de stjålne midlene på Lodestar – minus GLP de brente.
6. 2.8 millioner av GLP kan gjenvinnes, som er verdt rundt 2.4 millioner dollar. Vi skal nå ut til hackeren og...
— Lodestar Finance (,) (@LodestarFinance) Desember 10, 2022
I et lignende tilfelle sa CertiK at Lodestar Finance-hackere "kunstig pumpet prisen på en illikvid sikkerhet eiendel som de deretter låner mot, og etterlot protokollen med uopprettelig gjeld."
"Til tross for at noen av tapene potensielt kan gjenvinnes, er protokollen funksjonelt insolvent akkurat nå, og brukere blir oppfordret til ikke å betale tilbake eventuelle lån de har tatt opp."
Angrepet skjedde gjennom en sårbarhet i PlutusDAOs plvGLP-token på Lodestar. I følge dokumentasjonen bruker Lodestar "verifiserte, sikre Chainlink-prisfeeder for hver eiendel den tilbyr med unntak av plvGLP." I stedet var valutakursen for plvGLP til GLP avhengig av totale eiendeler delt på total forsyning på Lodestar.
Som forklart av CertiK, finansierte utnytteren først lommeboken sin med 1,500 Ether (ETH) 8. desember, som deretter tok ut åtte flashlån for totalt ca. USD 70 millioner verdt USD Coin (USDC), pakket Ether (wETH) og DAI (DAI) to dager senere. Dette drev kursen til plvGLP til GLP til 1.00:1.83, noe som betydde at utnytteren kunne låne enda flere eiendeler fra protokollen.
Lånene forbrukte raskt all likviditet på plattformen, noe som førte til at hackeren flyttet pengene ut av Lodestar og etterlot brukerne med dårlig gjeld. Det er anslått at utnytteren tjente totalt 6.9 millioner dollar i overskudd gjennom angrepsvektoren.
"Mens Lodestar tar kontakt med utnytteren i et forsøk på å forhandle frem en bug-premiere ex post facto, vil midlene sannsynligvis stort sett ikke kunne gjenvinnes. I mangel av et forsikringsfond som kan dekke tapene, bærer brukere av plattformen kostnadene for utnyttelsen.»
CertiK advarte om at angrepet "er et resultat av feil i protokollens design snarere enn en feil i den smarte kontraktskoden." Blockchain-sikkerhetsfirmaet fremhevet videre at Lodestar ble lansert uten revisjon, og derfor uten en tredjeparts gjennomgang av protokolldesignet.
Kilde: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik