Secondo un'analisi post mortem fornita da CertiK sull'exploit Lodestar Finance da 5.8 milioni di dollari avvenuto il 10 dicembre,
5. L'hacker ha bruciato poco più di 3 milioni di GLP, il suo profitto su questo exploit è stato costituito dai fondi rubati su Lodestar, meno il GLP che ha bruciato.
6. 2.8 milioni di GLP sono recuperabili, per un valore di circa 2.4 milioni di dollari. Contatteremo l'hacker e...
— Lodestar Finance (,) (@LodestarFinance) Dicembre 10, 2022
In un caso simile, CertiK ha affermato che gli hacker di Lodestar Finance "hanno pompato artificialmente il prezzo di un'attività collaterale illiquida contro cui poi prendono in prestito, lasciando il protocollo con un debito irrecuperabile".
"Nonostante alcune delle perdite siano potenzialmente recuperabili, il protocollo è funzionalmente insolvente in questo momento e gli utenti sono invitati a non rimborsare i prestiti che hanno contratto".
L'attacco è avvenuto attraverso una vulnerabilità nel token plvGLP di PlutusDAO su Lodestar. Secondo la sua documentazione, Lodestar "utilizza feed di prezzo Chainlink verificati e sicuri per ogni risorsa che offre ad eccezione di plvGLP". Invece, il tasso di cambio tra plvGLP e GLP si basava sulle attività totali divise per l'offerta totale su Lodestar.
Come spiegato da CertiK, lo sfruttatore ha prima finanziato il proprio portafoglio con 1,500 Ether (ETH) l'8 dicembre, poi ha sottoscritto otto flashloan per un totale di circa 70 milioni di dollari in USD Coin (USDC), avvolto Ether (wETH) e DAI (DAI) due giorni dopo. Ciò ha portato il tasso di cambio tra plvGLP e GLP a 1.00:1.83, il che significa che lo sfruttatore è stato in grado di prendere in prestito ancora più risorse dal protocollo.
I prestiti hanno consumato rapidamente tutta la liquidità sulla piattaforma, portando l'hacker a trasferire i fondi da Lodestar e lasciando gli utenti con debiti inesigibili. Si stima che lo sfruttatore abbia realizzato un totale di 6.9 milioni di dollari di profitti attraverso il vettore di attacco.
“Mentre Lodestar sta contattando lo sfruttatore nel tentativo di negoziare ex post facto una taglia di bug, è probabile che i fondi siano per lo più irrecuperabili. In assenza di un fondo assicurativo in grado di coprire le perdite, gli utenti della piattaforma sostengono il costo dell'exploit”.
CertiK ha avvertito che l'attacco "è il risultato di difetti nella progettazione del protocollo piuttosto che di un bug nel suo codice di contratto intelligente". La società di sicurezza blockchain ha inoltre sottolineato che Lodestar è stato lanciato senza un audit e, quindi, senza una revisione di terze parti del suo design del protocollo.
Fonte: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik