根据 CertiK 对 5.8 月 10 日发生的价值 XNUMX 万美元的 Lodestar Finance 漏洞利用提供的事后分析,
5. 黑客销毁了 3 万多一点的 GLP,他们利用此漏洞获得的利润是 Lodestar 上被盗的资金减去他们销毁的 GLP。
6. 2.8 万的 GLP 是可收回的,价值约 2.4 万美元。 我们将联系黑客并……
- 北极星金融 (,) (@LodestarFinance) 2022 年 12 月 10 日
在类似的例子中,CertiK 表示,Lodestar Finance 黑客“人为地抬高了一种非流动性抵押资产的价格,然后他们以此为抵押进行借贷,从而使该协议背上了无法挽回的债务。”
“尽管一些损失可能是可以弥补的,但该协议目前在功能上已经资不抵债,并且正在敦促用户不要偿还他们借出的任何贷款。”
该攻击是通过 Lodestar 上 PlutusDAO 的 plvGLP 令牌中的漏洞发生的。 根据其文档,Lodestar“对其提供的每项资产都使用经过验证的、安全的 Chainlink 价格信息,plvGLP 除外。” 相反,plvGLP 对 GLP 的汇率取决于总资产除以 Lodestar 的总供应量。
正如 CertiK 所解释的那样,利用者首先在 1,500 月 8 日用 70 个以太币 (ETH) 为他们的钱包提供资金,然后他们拿出了八笔闪电贷款,总共价值约 1.00 万美元的美元代币 (USDC)、包裹的以太币 (wETH),以及两天后 DAI (DAI)。 这将 plvGLP 与 GLP 的汇率推高至 1.83:XNUMX,这意味着开发者能够从协议中借入更多资产。
借贷很快耗尽了平台上的所有流动性,导致黑客将资金转移出 Lodestar,给用户留下了坏账。 据估计,利用者通过攻击向量共计获利 6.9 万美元。
“虽然 Lodestar 正在与开发者联系,试图事后协商漏洞赏金,但这些资金很可能大部分都无法收回。 在没有可以弥补损失的保险基金的情况下,该平台的用户承担了利用成本。”
CertiK 警告说,这次攻击“是协议设计缺陷的结果,而不是其智能合约代码中的错误。” 这家区块链安全公司进一步强调,Lodestar 是在未经审计的情况下启动的,因此也没有对其协议设计进行第三方审查。
资料来源:https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik