Hacker đã sao chép phương pháp của hacker Mango Markets để hack Lodestar — CertiK
Hacker đã kiếm được gần 6,9 triệu USD tiền lãi và để lại cho người dùng một đống nợ khó đòi.
Công ty bảo mật chuỗi khối CertiK đã chia sẻ một phân tích hậu kỳ về vụ hack Lodestar Finance trị giá 5,8 triệu USD xảy ra vào ngày 10 tháng 12:
5. The hacker burned a little over 3 million in GLP, their profit on this exploit was the stolen funds on Lodestar – minus the GLP they burned.
6. 2.8 Million of the GLP is recoverable, which is worth about $2.4 million. We are going to reach out to the hacker and…
— Lodestar Finance (💙,🧡) (@LodestarFinance) December 10, 2022
Trong một trường hợp tương tự, CertiK nói rằng tin tặc Lodestar Finance “đã bơm giá một cách giả tạo của một tài sản thế chấp kém thanh khoản mà sau đó chúng sẽ vay mượn, để lại giao thức với khoản nợ không thể thu hồi.”
“Mặc dù một số khoản lỗ có khả năng phục hồi được, nhưng giao thức hiện đang mất khả năng thanh toán và người dùng được khuyến khích không trả lại bất kỳ khoản vay nào mà họ đã vay.”
Cuộc tấn công xảy ra thông qua một lỗ hổng trong mã thông báo plvGLP của PlutusDAO trên Lodestar. Theo tài liệu của mình, Lodestar “sử dụng nguồn cấp dữ liệu giá Chainlink an toàn, đã được xác minh cho mọi tài sản mà nó cung cấp ngoại trừ plvGLP.” Thay vào đó, tỷ giá hối đoái của plvGLP sang GLP dựa trên tổng tài sản chia cho tổng nguồn cung trên Lodestar.
Theo giải thích của CertiK, lần đầu tiên hacker nạp tiền vào ví của họ bằng 1.500 Ether vào ngày 8 tháng 12 và sau đó thực hiện tám khoản vay chớp nhoáng với tổng số tiền USD Coin trị giá khoảng 70 triệu USD, wrapped Ether (wETH) và Dai hai ngày sau. Điều này đã đẩy tỷ giá hối đoái plvGLP/GLP lên 1,00:1,83, điều đó có nghĩa là hacker có thể vay nhiều tài sản hơn nữa từ giao thức.
Các khoản vay nhanh chóng tiêu tốn tất cả thanh khoản trên nền tảng, khiến tin tặc chuyển tiền ra khỏi Lodestar và để lại cho người dùng một khoản nợ khó đòi. Người ta ước tính rằng hacker đã kiếm được tổng cộng 6,9 triệu USD lợi nhuận thông qua vectơ tấn công.
“Mặc dù Lodestar đang liên hệ với hacker nhằm cố gắng thương lượng một khoản tiền thưởng lỗi sau khi thực tế xảy ra, nhưng số tiền này hầu như không thể thu hồi được. Trong trường hợp không có quỹ bảo hiểm có thể bù đắp tổn thất, người dùng nền tảng sẽ phải chịu chi phí hack.”
CertiK cảnh báo rằng cuộc tấn công “là kết quả của lỗi trong thiết kế của giao thức chứ không phải là lỗi trong mã hợp đồng thông minh của nó.” Công ty bảo mật chuỗi khối nhấn mạnh thêm rằng Lodestar đã ra mắt mà không cần kiểm toán và do đó, không có đánh giá của bên thứ ba về thiết kế giao thức của nó.
