Согласно посмертному анализу, предоставленному CertiK, эксплойта Lodestar Finance стоимостью 5,8 миллиона долларов, который произошел 10 декабря,
https://platform.twitter.com/widgets.js
В аналогичном случае CertiK заявила, что хакеры Lodestar Finance «искусственно накачали цену неликвидного залогового актива, под который они затем взяли кредит, оставив протокол безвозвратным долгом».
«Несмотря на то, что некоторые убытки потенциально могут быть возмещены, протокол в настоящее время функционально неплатежеспособен, и пользователям настоятельно рекомендуется не возвращать взятые ими кредиты».
Атака произошла из-за уязвимости в токене plvGLP PlutusDAO на Lodestar. Согласно документации, Lodestar «использует проверенные и безопасные ценовые каналы Chainlink для каждого предлагаемого актива, за исключением plvGLP». Вместо этого обменный курс plvGLP к GLP зависел от общей суммы активов, разделенной на общую сумму предложения на Lodestar.
Как пояснил CertiK, эксплуататор сначала пополнил свой кошелек 1500 эфирами (ETH) 8 декабря, а затем взял восемь мгновенных кредитов на общую сумму около 70 миллионов долларов США в монетах (USDC), обернул эфир (wETH) иDAI (DAI) два дня спустя. Это привело к тому, что обменный курс plvGLP к GLP составил 1,00:1,83, а это означало, что эксплуататор смог заимствовать еще больше активов из протокола.
Займы быстро поглотили всю ликвидность на платформе, в результате чего хакер перевел средства из Lodestar и оставил пользователей с безнадежными долгами. По оценкам, эксплуататор получил в общей сложности 6,9 миллиона долларов прибыли за счет вектора атаки.
«В то время как Lodestar обращается к эксплуататору в попытке договориться о вознаграждении за ошибку задним числом, средства, вероятно, будут в основном невозвратными. В отсутствие страхового фонда, который может покрыть убытки, пользователи платформы несут расходы. подвига».
CertiK предупредил, что атака «является результатом недостатков в конструкции протокола, а не ошибки в коде смарт-контракта». Фирма по безопасности блокчейна также подчеркнула, что Lodestar был запущен без аудита и, следовательно, без сторонней проверки дизайна его протокола.
