Hackers hebben de methoden van de Mango Markets-aanvaller gekopieerd om Lodestar: CertiK te exploiteren

Volgens een post-mortemanalyse van CertiK van de $ 5.8 miljoen kostende Lodestar Finance-exploit die plaatsvond op 10 december,

5. De hacker verbrandde iets meer dan 3 miljoen GLP, hun winst op deze exploit was het gestolen geld op Lodestar – minus de GLP die ze verbrandden.
6. 2.8 miljoen van de GLP kan worden teruggevorderd, wat ongeveer $ 2.4 miljoen waard is. We gaan contact opnemen met de hacker en...
— Lodestar Financiën (,) (@LodestarFinance) 10 december 2022

In een vergelijkbaar geval zei CertiK dat Lodestar Finance-hackers "kunstmatig de prijs van een illiquide onderpand hebben opgepompt waar ze vervolgens tegen lenen, waardoor het protocol met oninbare schulden achterblijft."

"Ondanks dat sommige van de verliezen mogelijk verhaalbaar zijn, is het protocol op dit moment functioneel insolvent en worden gebruikers aangespoord om geen leningen terug te betalen die ze hebben afgesloten."

De aanval vond plaats via een kwetsbaarheid in het plvGLP-token van PlutusDAO op Lodestar. Volgens de documentatie gebruikt Lodestar "geverifieerde, veilige Chainlink-prijsfeeds voor elk activum dat het aanbiedt, met uitzondering van plvGLP." In plaats daarvan was de wisselkoers van plvGLP naar GLP gebaseerd op de totale activa gedeeld door het totale aanbod op Lodestar.

Zoals uitgelegd door CertiK, financierde de uitbuiter hun portemonnee eerst met 1,500 Ether (ETH) op 8 december, die vervolgens acht flashleningen afsloot voor een totaal van ongeveer $ 70 miljoen aan USD Coin (USDC), verpakte Ether (wETH), en DAI (DAI) twee dagen later. Dit dreef de wisselkoers van plvGLP naar GLP naar 1.00:1.83, wat betekende dat de uitbuiter nog meer activa van het protocol kon lenen.

De leningen verbruikten snel alle liquiditeit op het platform, waardoor de hacker het geld uit Lodestar overmaakte en gebruikers met slechte schulden achterliet. Geschat wordt dat de uitbuiter in totaal $ 6.9 miljoen aan winst heeft gemaakt via de aanvalsvector.

“Terwijl Lodestar contact opneemt met de uitbuiter in een poging ex post facto te onderhandelen over een bugpremie, zullen de fondsen waarschijnlijk grotendeels oninbaar zijn. Bij gebrek aan een verzekeringsfonds dat de verliezen kan dekken, dragen de gebruikers van het platform de kosten van de exploit.”

CertiK waarschuwde dat de aanval "het resultaat is van fouten in het ontwerp van het protocol in plaats van een bug in de slimme contractcode." Het blockchain-beveiligingsbedrijf benadrukte verder dat Lodestar is gelanceerd zonder een audit en dus zonder een externe beoordeling van het protocolontwerp.