هکرها از روش های مهاجم Mango Markets برای سوء استفاده از Lodestar CertiK استفاده کردن.

بر اساس تجزیه و تحلیل پس از مرگ ارائه شده توسط CertiK از سوء استفاده 5.8 میلیون دلاری Lodestar Finance که در 10 دسامبر رخ داد،در یک نمونه مشابه، CertiK گفت که هکرهای Lodestar Finance “به طور مصنوعی قیمت یک دارایی وثیقه غیرنقدی را که در مقابل آن وام می گیرند، پمپ می کنند و پروتکل را با بدهی غیرقابل برگشت باقی می گذارند.”

علیرغم اینکه برخی از زیان‌ها به طور بالقوه قابل جبران هستند، این پروتکل در حال حاضر از نظر عملکردی ورشکسته است و از کاربران خواسته می‌شود که وام‌هایی را که گرفته‌اند بازپرداخت نکنند.

این حمله از طریق یک آسیب پذیری در توکن plvGLP PlutusDAO در Lodestar رخ داد. طبق مستندات خود، Lodestar “برای هر دارایی که ارائه می دهد به استثنای plvGLP از فیدهای قیمت زنجیره ای تایید شده و ایمن استفاده می کند.” در عوض، نرخ مبادله plvGLP به GLP بر کل دارایی تقسیم بر کل عرضه در Lodestar متکی بود.

همانطور که توسط CertiK توضیح داده شد، بهره‌بردار ابتدا کیف پول خود را با 1500 اتر (ETH) در 8 دسامبر تأمین مالی کرد، و سپس هشت وام فلش وام گرفت که در مجموع به ارزش تقریبی 70 میلیون دلار USDC (USDC)، اتر (wETH) پیچیده شده بود. DAI (DAI) دو روز بعد. این باعث شد که نرخ مبادله plvGLP به GLP به 1.00:1.83 برسد، که به این معنی است که بهره‌بردار می‌تواند دارایی‌های بیشتری را از پروتکل قرض بگیرد.

وام‌گیری‌ها به سرعت تمام نقدینگی موجود در پلتفرم را مصرف کرد و باعث شد هکر وجوه را به خارج از Lodestar منتقل کند و کاربران را با بدهی بدی مواجه کند. تخمین زده می شود که بهره بردار در مجموع 6.9 میلیون دلار از طریق بردار حمله سود کسب کرده است.

“در حالی که Lodestar در تلاش است تا با بهره‌بردار مذاکره کند تا در مورد عیدی باگ به‌صورت پس‌فاکتو مذاکره کند، احتمالاً وجوه عمدتا غیرقابل بازیافت خواهند بود. در غیاب صندوق بیمه‌ای که بتواند خسارت‌ها را پوشش دهد، کاربران پلتفرم هزینه را متحمل می‌شوند. از بهره برداری.”

CertiK هشدار داد که این حمله “نتیجه نقص در طراحی پروتکل است تا یک اشکال در کد قرارداد هوشمند آن.” شرکت امنیتی بلاک چین همچنین تاکید کرد که Lodestar بدون ممیزی و بنابراین بدون بررسی شخص ثالث طراحی پروتکل خود راه اندازی شده است.