5.8 月 10 日に発生した XNUMX 万ドルの Lodestar Finance エクスプロイトについて CertiK が提供した事後分析によると、
5. ハッカーは GLP で 3 万ドル強を焼失しました。この悪用による彼らの利益は、Lodestar で盗まれた資金から、焼失した GLP を差し引いたものです。
6. GLP の 2.8 万が回収可能で、これは約 2.4 万ドルの価値があります。 ハッカーに手を差し伸べて…
— Lodestar Finance (、) (@LodestarFinance) 2022 年 12 月 10 日
同様の例で、CertiK は、Lodestar Finance のハッカーが「流動性の低い担保資産の価格を人為的に押し上げ、それを借りて、プロトコルに取り返しのつかない負債を残した」と述べました。
「損失の一部は回復できる可能性があるにもかかわらず、プロトコルは現在機能的に破綻しており、ユーザーは借りたローンを返済しないように求められています。」
この攻撃は、Lodestar 上の PlutusDAO の plvGLP トークンの脆弱性を介して発生しました。 そのドキュメントによると、Lodestar は「plvGLP を除いて、提供するすべての資産に対して、検証済みの安全な Chainlink 価格フィードを使用しています。」 代わりに、plvGLP から GLP への為替レートは、Lodestar の総資産を総供給量で割ったものに依存していました。
CertiK が説明したように、搾取者は 1,500 月 8 日に最初に 70 イーサ (ETH) でウォレットに資金を提供し、その後、合計で約 1.00 万ドル相当の USD コイン (USDC)、ラップ イーサ (wETH)、およびDAI(ダイ)1.83日後。 これにより、plvGLP から GLP への為替レートが XNUMX:XNUMX になり、悪用者はプロトコルからさらに多くの資産を借りることができました。
借り入れはプラットフォーム上のすべての流動性をすぐに消費し、ハッカーは Lodestar から資金を送金し、ユーザーに不良債権を残しました。 悪用者は、攻撃ベクトルを通じて合計 6.9 万ドルの利益を上げたと推定されています。
「Lodestar は事後的にバグ報奨金を交渉するために悪用者に手を差し伸べていますが、資金はほとんど回収できない可能性があります。 損失をカバーできる保険基金がない場合、プラットフォームのユーザーはエクスプロイトのコストを負担します。」
CertiK は、この攻撃は「スマート コントラクト コードのバグではなく、プロトコルの設計上の欠陥の結果である」と警告しています。 ブロックチェーン セキュリティ会社はさらに、Lodestar が監査なしでローンチしたことを強調しました。したがって、プロトコル設計の第三者レビューもありませんでした。
ソース: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik