Դեկտեմբերի 5.8-ին տեղի ունեցած Lodestar Finance-ի 10 միլիոն դոլար արժողությամբ շահագործման CertiK-ի կողմից տրամադրված հետմահու վերլուծության համաձայն,
5. Հաքերն այրել է 3 միլիոնից մի փոքր ավելի GLP, նրանց շահույթն այս շահագործումից եղել է Lodestar-ի գողացված միջոցները՝ հանած GLP-ն, որը նրանք այրել են:
6. GLP-ի 2.8 միլիոնը վերականգնվող է, որը կազմում է մոտ 2.4 միլիոն դոլար: Մենք պատրաստվում ենք կապ հաստատել հաքերի հետ և…
— Lodestar Finance (,) (@LodestarFinance) Դեկտեմբերի 10, 2022
Նմանատիպ օրինակում CertiK-ն ասաց, որ Lodestar Finance հաքերները «արհեստականորեն բարձրացրել են ոչ իրացվելի գրավի ակտիվի գինը, որից հետո նրանք պարտք են վերցնում՝ արձանագրությունը թողնելով անդառնալի պարտքով»:
«Չնայած որոշ վնասների պոտենցիալ վերականգնվող լինելուն, արձանագրությունն այս պահին գործառութային առումով անվճարունակ է, և օգտատերերին կոչ է արվում չմարել իրենց վերցրած վարկերը»:
Հարձակումը տեղի է ունեցել Lodestar-ի PlutusDAO-ի plvGLP նշանի խոցելիության պատճառով: Ըստ իր փաստաթղթերի՝ Lodestar-ը «օգտագործում է ստուգված, ապահով Chainlink-ի գների հոսքեր իր առաջարկած յուրաքանչյուր ակտիվի համար, բացառությամբ plvGLP-ի»: Փոխարենը, plvGLP-ի դեպի GLP փոխարժեքը հիմնված էր ընդհանուր ակտիվների վրա՝ բաժանված Lodestar-ի ընդհանուր առաջարկի վրա:
Ինչպես բացատրում է CertiK-ը, շահագործողը նախ ֆինանսավորել է իրենց դրամապանակը 1,500 Եթերով (ETH) դեկտեմբերի 8-ին, որն այնուհետև վերցրել է ութ արագ փոխառություն՝ ընդհանուր մոտ 70 միլիոն դոլար արժողությամբ ԱՄՆ դոլարի մետաղադրամով (USDC), փաթաթված Եթերով (wETH) և DAI (DAI) երկու օր անց: Սա հասցրեց plvGLP-ի փոխարժեքը GLP-ի մինչև 1.00:1.83, ինչը նշանակում էր, որ շահագործողը կարողացավ ավելի շատ ակտիվներ վերցնել արձանագրությունից:
Փոխառությունները արագորեն սպառեցին հարթակի ողջ իրացվելիությունը՝ տանելով հաքերներին գումարները Lodestar-ից դուրս փոխանցելով և օգտատերերին թողնելով վատ պարտքեր: Ենթադրվում է, որ շահագործողը հարձակման վեկտորի միջոցով ընդհանուր առմամբ ստացել է 6.9 միլիոն դոլարի շահույթ:
«Մինչ Lodestar-ը ձեռք է մեկնում շահագործողին՝ փորձելով նախկինում ֆակտո բանակցել սխալների պարգևի մասին, միջոցները, հավանաբար, հիմնականում անվերականգնելի կլինեն: Ապահովագրական հիմնադրամի բացակայության դեպքում, որը կարող է ծածկել վնասները, հարթակի օգտագործողները կրում են շահագործման ծախսերը»:
CertiK-ը նախազգուշացրել է, որ հարձակումը «արձանագրության դիզայնի թերությունների արդյունք է, այլ ոչ թե դրա խելացի պայմանագրի կոդի սխալի»: Բլոկչեյնի անվտանգության ընկերությունն այնուհետև ընդգծել է, որ Lodestar-ը գործարկվել է առանց աուդիտի և, հետևաբար, առանց իր արձանագրության ձևավորման երրորդ կողմի վերանայման:
Աղբյուր՝ https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik