De acordo com uma análise post-mortem fornecida pela CertiK da exploração de $ 5.8 milhões da Lodestar Finance que ocorreu em 10 de dezembro,
5. O hacker queimou um pouco mais de 3 milhões em GLP, seu lucro nessa exploração foi os fundos roubados no Lodestar - menos o GLP que eles queimaram.
6. 2.8 milhões do GLP são recuperáveis, o que equivale a cerca de US$ 2.4 milhões. Vamos entrar em contato com o hacker e…
– Lodestar Finance (,) (@LodestarFinance) 10 de dezembro de 2022
Em um caso semelhante, a CertiK disse que os hackers da Lodestar Finance “aumentaram artificialmente o preço de um ativo colateral ilíquido contra o qual eles emprestaram, deixando o protocolo com uma dívida irrecuperável”.
“Apesar de algumas das perdas serem potencialmente recuperáveis, o protocolo está funcionalmente insolvente no momento e os usuários estão sendo instados a não pagar quaisquer empréstimos que tenham contraído”.
O ataque ocorreu por meio de uma vulnerabilidade no token plvGLP do PlutusDAO em Lodestar. De acordo com sua documentação, a Lodestar “usa feeds de preços Chainlink seguros e verificados para todos os ativos que oferece, com exceção do plvGLP”. Em vez disso, a taxa de câmbio de plvGLP para GLP dependia do total de ativos dividido pela oferta total da Lodestar.
Conforme explicado pela CertiK, o explorador primeiro financiou sua carteira com 1,500 Ether (ETH) em 8 de dezembro, que então fez oito flashloans para um total de aproximadamente $ 70 milhões em USD Coin (USDC), Ether embrulhado (wETH) e DAI (DAI) dois dias depois. Isso elevou a taxa de câmbio de plvGLP para GLP para 1.00:1.83, o que significa que o explorador conseguiu emprestar ainda mais ativos do protocolo.
Os empréstimos rapidamente consumiram toda a liquidez da plataforma, levando o hacker a transferir os fundos para fora da Lodestar e deixando os usuários com dívidas inadimplentes. Estima-se que o explorador obteve um total de US$ 6.9 milhões em lucros por meio do vetor de ataque.
“Enquanto Lodestar está entrando em contato com o explorador em uma tentativa de negociar uma recompensa de bug ex post facto, os fundos provavelmente serão irrecuperáveis. Na ausência de um fundo de seguro que possa cobrir as perdas, os usuários da plataforma arcam com o custo da exploração”.
A CertiK alertou que o ataque “é resultado de falhas no design do protocolo, e não de um bug em seu código de contrato inteligente”. A empresa de segurança blockchain destacou ainda que o Lodestar foi lançado sem uma auditoria e, portanto, sem uma revisão de terceiros de seu design de protocolo.
Fonte: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik