5.8 Aralık'ta meydana gelen 10 milyon dolarlık Lodestar Finance istismarına ilişkin CertiK tarafından sağlanan ölüm sonrası analize göre,
5. Bilgisayar korsanı GLP'de 3 milyondan biraz fazla yaktı, bu istismardan elde ettikleri kazanç, Lodestar'da çalınan fonlar eksi yaktıkları GLP idi.
6. GLP'nin 2.8 Milyonu geri alınabilir, bu da yaklaşık 2.4 milyon $ değerindedir. Bilgisayar korsanına ulaşacağız ve…
— Lodestar Finans (,) (@LodestarFinance) 10 Aralık 2022
Benzer bir örnekte CertiK, Lodestar Finance bilgisayar korsanlarının "likit olmayan bir teminat varlığının fiyatını suni olarak yükselttiklerini ve ardından karşılığında borç alarak protokolü geri alınamaz bir borçla bıraktıklarını" söyledi.
"Kayıpların bir kısmı potansiyel olarak telafi edilebilir olmasına rağmen, protokol şu anda işlevsel olarak iflas etmiş durumda ve kullanıcılardan aldıkları kredileri geri ödememeleri isteniyor."
Saldırı, PlutusDAO'nun Lodestar'daki plvGLP belirtecindeki bir güvenlik açığı aracılığıyla gerçekleşti. Belgelerine göre, Lodestar "plvGLP hariç sunduğu her varlık için doğrulanmış, güvenli Chainlink fiyat akışlarını kullanıyor." Bunun yerine, plvGLP'nin GLP'ye döviz kuru, toplam varlıkların Lodestar'daki toplam arza bölünmesine dayanıyordu.
CertiK tarafından açıklandığı üzere, istismarcı cüzdanını ilk olarak 1,500 Aralık'ta 8 Ether (ETH) ile finanse etti, daha sonra toplam yaklaşık 70 milyon $ değerinde USD Coin (USDC), Ether (wETH) ve DAI (DAI) iki gün sonra. Bu, plvGLP'nin GLP'ye olan döviz kurunu 1.00:1.83'e çıkardı, bu da istismarcının protokolden daha fazla varlık ödünç alabilmesi anlamına geliyordu.
Borçlanmalar, platformdaki tüm likiditeyi hızla tüketerek, bilgisayar korsanının fonları Lodestar'dan transfer etmesine ve kullanıcıların kötü bir borca sahip olmasına neden oldu. İstismarcının saldırı vektörü aracılığıyla toplam 6.9 milyon dolar kar elde ettiği tahmin ediliyor.
"Lodestar, ex post facto bir bug ödülü için pazarlık yapmak amacıyla istismarcıya ulaşırken, fonlar büyük olasılıkla geri alınamayacak durumda. Kayıpları karşılayabilecek bir sigorta fonunun yokluğunda, platformun kullanıcıları istismarın maliyetini üstlenir.”
CertiK, saldırının "akıllı sözleşme kodundaki bir hatadan ziyade protokolün tasarımındaki kusurların sonucu olduğu" konusunda uyardı. Blockchain güvenlik firması ayrıca, Lodestar'ın bir denetim olmadan ve dolayısıyla protokol tasarımının üçüncü tarafça incelenmesi olmadan piyasaya sürüldüğünü vurguladı.
Kaynak: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik