Laut einer von CertiK bereitgestellten Post-Mortem-Analyse des 5.8-Millionen-Dollar-Exploits von Lodestar Finance, der am 10. Dezember stattfand,
5. Der Hacker verbrannte etwas mehr als 3 Millionen GLP, ihr Gewinn aus diesem Exploit waren die gestohlenen Gelder auf Lodestar – abzüglich der GLP, die sie verbrannten.
6. 2.8 Millionen der GLP sind erstattungsfähig, was einen Wert von etwa 2.4 Millionen US-Dollar hat. Wir werden uns an den Hacker wenden und…
— Lodestar Finance (,) (@LodestarFinance) 10. Dezember 2022
In einem ähnlichen Fall sagte CertiK, dass die Hacker von Lodestar Finance „künstlich den Preis eines illiquiden Sicherheitenwerts in die Höhe trieben, gegen den sie sich dann leihen, und das Protokoll mit uneinbringlichen Schulden zurückließen“.
„Obwohl einige der Verluste möglicherweise erstattungsfähig sind, ist das Protokoll derzeit praktisch zahlungsunfähig, und die Benutzer werden aufgefordert, keine von ihnen aufgenommenen Kredite zurückzuzahlen.“
Der Angriff erfolgte durch eine Schwachstelle im plvGLP-Token von PlutusDAO auf Lodestar. Laut seiner Dokumentation verwendet Lodestar „verifizierte, sichere Chainlink-Preis-Feeds für alle angebotenen Vermögenswerte mit Ausnahme von plvGLP“. Stattdessen stützte sich der Wechselkurs von plvGLP zu GLP auf das Gesamtvermögen dividiert durch das Gesamtangebot von Lodestar.
Wie von CertiK erklärt, finanzierte der Exploiter seine Wallet am 1,500. Dezember zunächst mit 8 Ether (ETH), die dann acht Flash-Darlehen für USD Coin (USDC) im Gesamtwert von etwa 70 Millionen Dollar aufnahm, Ether (wETH) verpackte und DAI (DAI) zwei Tage später. Dies trieb den Wechselkurs von plvGLP zu GLP auf 1.00:1.83, was bedeutete, dass der Exploiter noch mehr Vermögenswerte aus dem Protokoll ausleihen konnte.
Die Kreditaufnahmen verbrauchten schnell die gesamte Liquidität auf der Plattform, was dazu führte, dass der Hacker die Gelder aus Lodestar transferierte und die Benutzer mit uneinbringlichen Schulden zurückließ. Es wird geschätzt, dass der Exploiter durch den Angriffsvektor insgesamt 6.9 Millionen Dollar an Gewinn gemacht hat.
„Während Lodestar sich an den Exploiter wendet, um ex post eine Prämie für Bugs auszuhandeln, sind die Gelder wahrscheinlich größtenteils nicht zurückerstattbar. In Ermangelung eines Versicherungsfonds, der die Verluste decken kann, tragen die Nutzer der Plattform die Kosten des Exploits.“
CertiK warnte davor, dass der Angriff „das Ergebnis von Fehlern im Design des Protokolls und nicht von einem Fehler in seinem intelligenten Vertragscode ist“. Die Blockchain-Sicherheitsfirma betonte ferner, dass Lodestar ohne Prüfung und daher ohne Überprüfung seines Protokolldesigns durch Dritte gestartet wurde.
Quelle: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik