Lodestar: هکرها از روش های مهاجمان Mango Markets برای سوء استفاده از CertiK کپی کردند

مهاجمان نزدیک به ۶.۹ میلیون دلار سود کسب کردند و کاربران را با کوهی از بدهی های بد مواجه کردند.

بر اساس تجزیه و تحلیل پس از مرگ ارائه شده توسط CertiK برای بهره برداری ۵.۸ میلیون دلاری Lodestar Finance در ۱۰ دسامبر:

۵. هکرها کمی بیش از ۳ میلیون دلار GLP سوزاندند. سود آنها از این سوء استفاده، وجوه دزدیده شده در Lodestar منهای GLP سوخته است.

۶. ۲.۸ میلیون GLP قابل بازیابی است که تقریباً ۲.۴ میلیون دلار ارزش دارد. ما قصد داریم با هکرها تماس بگیریم …

— Lodestar Finance (،) (@LodestarFinance) ۱۰ دسامبر ۲۰۲۲

در مثال مشابهی، CertiK گفت که هکرهای Lodestar Finance “به طور مصنوعی قیمت دارایی های غیر نقدشونده وثیقه را بالا بردند و آنها را قرض گرفتند و پروتکل را با بدهی غیرقابل وصول باقی گذاشتند.”

اگرچه ممکن است برخی از زیان‌ها قابل جبران باشد، پروتکل در حال حاضر از نظر عملکردی شکسته شده است و از کاربران خواسته می‌شود وام‌هایی را که گرفته‌اند بازپرداخت نکنند.»

این حمله از طریق یک آسیب پذیری در توکن plvGLP PlutusDAO در Lodestar رخ داد. طبق مستندات خود، Lodestar “از یک فید قیمت تایید شده و ایمن Chainlink برای همه دارایی هایی که ارائه می دهد، به جز plvGLP استفاده می کند.” در عوض، نرخ مبادله plvGLP به GLP به کل دارایی های Lodestar تقسیم بر کل عرضه آن وابسته بود.

همانطور که توسط CertiK توضیح داده شد، بهره‌برداران برای اولین بار در ۸ دسامبر، کیف پول را با ۱۵۰۰ اتر (ETH) تامین کردند، پس از آن، در مجموع، حدود ۷۰ میلیون دلار کوین USD (USDC)، اتر (wETH) و DAI را ۲ روز بعد تامین کردند. . این منجر به نرخ مبادله plvGLP به GLP 1.00:1.83 شد که به سوء استفاده کنندگان اجازه می داد حتی دارایی های بیشتری را از پروتکل قرض بگیرند.

وام گرفتن به سرعت تمام نقدینگی موجود در پلتفرم را مصرف کرد و هکرها وجوه را به خارج از Lodestar منتقل کردند و کاربران را با بدهی بدی مواجه کردند. تخمین زده می شود که سوء استفاده کنندگان در مجموع ۶.۹ میلیون دلار از طریق بردارهای حمله سود به دست آورده اند.

“Lodestar پس از این واقعیت با سوء استفاده کنندگان تماس گرفته تا در مورد جوایز باگ مذاکره کنند، اما وجوه احتمالاً تا حد زیادی غیرقابل بازیابی خواهد بود. بدون صندوق بیمه برای پوشش خسارات، کاربران پلتفرم مجبور خواهند شد هزینه ها را پوشش دهند. من بار مسئولیت را به دوش می کشم. استثمار.»

CertiK هشدار می دهد که این حمله “نتیجه یک نقص طراحی در پروتکل است، نه یک اشکال در کد قرارداد هوشمند.” شرکت امنیتی بلاک چین همچنین تاکید کرد که Lodestar بدون حسابرسی راه اندازی شده است. بنابراین، هیچ بررسی شخص ثالثی در مورد طراحی پروتکل وجود نداشت.

نویسنده: Zhiyuan Sun