根據 CertiK 對 5.8 月 10 日發生的價值 XNUMX 萬美元的 Lodestar Finance 漏洞利用提供的事後分析,
5. 黑客銷毀了 3 萬多一點的 GLP,他們利用此漏洞獲得的利潤是 Lodestar 上被盜的資金減去他們銷毀的 GLP。
6. 2.8 萬的 GLP 是可收回的,價值約 2.4 萬美元。 我們將聯繫黑客並……
- 北極星金融 (,) (@LodestarFinance) 2022 年 12 月 10 日
在類似的例子中,CertiK 表示,Lodestar Finance 黑客“人為地抬高了一種非流動性抵押資產的價格,然後他們以此為抵押進行借貸,從而使該協議背上了無法挽回的債務。”
“儘管一些損失可能是可以彌補的,但該協議目前在功能上已經資不抵債,並且正在敦促用戶不要償還他們藉出的任何貸款。”
該攻擊是通過 Lodestar 上 PlutusDAO 的 plvGLP 令牌中的漏洞發生的。 根據其文檔,Lodestar“對其提供的每項資產都使用經過驗證的、安全的 Chainlink 價格信息,plvGLP 除外。” 相反,plvGLP 對 GLP 的匯率取決於總資產除以 Lodestar 的總供應量。
正如 CertiK 所解釋的那樣,利用者首先在 1,500 月 8 日用 70 個以太幣 (ETH) 為他們的錢包提供資金,然後他們拿出了八筆閃電貸款,總共價值約 1.00 萬美元的美元代幣 (USDC)、包裹的以太幣 (wETH),以及兩天后 DAI (DAI)。 這將 plvGLP 與 GLP 的匯率推高至 1.83:XNUMX,這意味著開發者能夠從協議中藉入更多資產。
借貸很快耗盡了平台上的所有流動性,導致黑客將資金轉移出 Lodestar,給用戶留下了壞賬。 據估計,利用者通過攻擊向量共計獲利 6.9 萬美元。
“雖然 Lodestar 正在與開發者聯繫,試圖事後協商漏洞賞金,但這些資金很可能大部分無法收回。 在沒有可以彌補損失的保險基金的情況下,該平台的用戶承擔了利用成本。”
CertiK 警告說,這次攻擊“是協議設計缺陷的結果,而不是其智能合約代碼中的錯誤。” 這家區塊鏈安全公司進一步強調,Lodestar 是在未經審計的情況下啟動的,因此也沒有對其協議設計進行第三方審查。
資料來源:https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik