5.8 желтоқсанда орын алған Lodestar Finance 10 миллион долларлық эксплуатацияға CertiK берген өлгеннен кейінгі талдауға сәйкес,
5. Хакер GLP-де 3 миллионнан сәл астам соманы өртеп жіберді, олардың осы эксплуатациядан алған пайдасы Lodestar-тағы ұрланған қаражат болды – олар өртеген GLP-ті алып тастағанда.
6. GLP-тің 2.8 миллионы өтеледі, бұл шамамен 2.4 миллион долларды құрайды. Біз хакерге хабарласамыз және…
— Lodestar Finance (,) (@LodestarFinance) Желтоқсан 10, 2022
Осыған ұқсас жағдайда, CertiK Lodestar Finance хакерлері «өтімді емес кепіл активінің бағасын жасанды түрде көтерді, содан кейін олар қарызға алып, хаттаманы қайтарылмайтын қарыз қалдырды» деді.
«Кейбір шығындарды өтеуге болатынына қарамастан, хаттама дәл қазір функционалдық төлемге қабілетсіз және пайдаланушыларға алған несиелерін қайтармауға шақырылады».
Шабуыл Lodestar жүйесіндегі PlutusDAO plvGLP таңбалауышындағы осалдық арқылы орын алды. Құжаттамасына сәйкес, Lodestar «plvGLP қоспағанда, ол ұсынатын әрбір актив үшін тексерілген, қауіпсіз Chainlink баға арналарын пайдаланады». Оның орнына, plvGLP-тің GLP-ге айырбастау бағамы Lodestar-тағы жалпы ұсынысқа бөлінген активтердің жалпы сомасына сүйенді.
CertiK түсіндіргендей, эксплуататор алдымен 1,500 желтоқсанда әмиянды 8 Эфирмен (ETH) қаржыландырды, содан кейін олар жалпы құны шамамен 70 миллион доллар болатын USD Coin (USDC), оралған Этер (wETH) және сегіз флеш кредит алды. DAI (DAI) екі күннен кейін. Бұл plvGLP-тің GLP-ге айырбастау бағамын 1.00:1.83-ке дейін көтерді, бұл қанаушының хаттамадан одан да көп активтерді қарызға ала алатынын білдіреді.
Қарыздар платформадағы барлық өтімділікті тез жұмсады, бұл хакердің Lodestar-дан қаражат аударуына және пайдаланушыларды үмітсіз қарызға қалдырды. Эксплуататор шабуыл векторы арқылы барлығы 6.9 миллион доллар пайда тапты деген болжам бар.
«Lodestar экс-пост-факто қателік сыйақысын келіссөздер жүргізу үшін эксплуататорға хабарласып жатқанымен, қаражат негізінен қалпына келтірілмейтін болуы мүмкін. Шығындарды өтей алатын сақтандыру қоры болмаған жағдайда, платформаны пайдаланушылар пайдалану құнын көтереді».
CertiK бұл шабуыл «смарт келісімшарт кодындағы қате емес, хаттама дизайнындағы кемшіліктердің нәтижесі» деп ескертті. Блокчейн қауіпсіздік фирмасы одан әрі Lodestar аудитсіз іске қосылды, демек, оның хаттама дизайнын үшінші тарап шолуынсыз іске қосылды.
Дереккөз: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik