Glede na post mortem analizo, ki jo je zagotovil CertiK, 5.8 milijona dolarjev vrednega napada Lodestar Finance, ki se je zgodil 10. decembra,
5. Heker je zažgal nekaj več kot 3 milijone v GLP, njihov dobiček pri tem podvigu so bila ukradena sredstva na Lodestarju – minus GLP, ki so ga zažgali.
6. 2.8 milijona GLP je mogoče povrniti, kar je vredno približno 2.4 milijona dolarjev. Obrnili se bomo na hekerja in ...
— Lodestar Finance (,) (@LodestarFinance) December 10, 2022
V podobnem primeru je CertiK dejal, da so hekerji Lodestar Finance "umetno napihnili ceno nelikvidnega zavarovanega sredstva, proti kateremu so si nato izposodili, tako da je protokol pustil nepopravljiv dolg."
"Kljub temu, da so nekatere izgube potencialno nadomestljive, je protokol trenutno funkcionalno insolventen, uporabnike pa pozivamo, naj ne odplačujejo nobenih posojil, ki so jih vzeli."
Do napada je prišlo zaradi ranljivosti v žetonu plvGLP PlutusDAO na Lodestarju. Glede na njegovo dokumentacijo Lodestar "uporablja preverjene, varne vire cen Chainlink za vsako sredstvo, ki ga ponuja, z izjemo plvGLP." Namesto tega je menjalni tečaj plvGLP proti GLP temeljil na skupnih sredstvih, deljenih s skupno ponudbo na Lodestarju.
Kot je pojasnil CertiK, je izkoriščevalec svojo denarnico prvič napolnil s 1,500 etri (ETH) 8. decembra, nato pa je najel osem hitrih posojil v skupni vrednosti približno 70 milijonov USD kovancev (USDC), zavitih etrov (wETH) in DAI (DAI) dva dni kasneje. To je dvignilo menjalni tečaj plvGLP proti GLP na 1.00:1.83, kar je pomenilo, da si je izkoriščevalec lahko izposodil še več sredstev iz protokola.
Posojila so hitro porabila vso likvidnost na platformi, zaradi česar je heker prenesel sredstva iz Lodestarja in pustil uporabnike s slabimi dolgovi. Ocenjuje se, da je izkoriščevalec z vektorjem napada ustvaril skupno 6.9 milijona dolarjev dobička.
»Medtem ko se Lodestar obrne na izkoriščevalca v poskusu postfaktnih pogajanj za nagrado za hrošče, sredstev verjetno večinoma ni mogoče izterjati. Če ni zavarovalnega sklada, ki bi lahko pokril izgube, uporabniki platforme nosijo stroške izkoriščanja.«
CertiK je opozoril, da je napad "rezultat napak v zasnovi protokola in ne napake v kodi pametne pogodbe." Varnostno podjetje za verigo blokov je nadalje poudarilo, da je Lodestar začel delovati brez revizije in torej brez pregleda zasnove njegovega protokola s strani tretje osebe.
Vir: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik