Según un análisis post-mortem proporcionado por CertiK de la explotación de Lodestar Finance de $5,8 millones que tuvo lugar el 10 de diciembre,
5. El hacker quemó un poco más de 3 millones en GLP, su ganancia de este exploit fueron los fondos robados de Lodestar, menos el GLP que quemaron.
6. Se pueden recuperar 2,8 millones de GLP, con un costo aproximado de 2,4 millones de dólares. Nos pondremos en contacto con el hacker y…
— Finanzas Lodestar (,) (@LodestarFinance) 10 de diciembre de 2022
En un caso similar, CertiK dijo que los piratas informáticos de Lodestar Finance «aumentaron artificialmente el precio de una garantía ilíquida contra la cual luego tomaron prestado, dejando al protocolo en una deuda incobrable».
«Aunque algunas de las pérdidas son potencialmente recuperables, el protocolo es funcionalmente insolvente en este momento y se insta a los usuarios a no pagar los préstamos que han obtenido».
El ataque ocurrió a través de una vulnerabilidad en el token plvGLP de PlutusDAO de Lodestar. Según su documentación, Lodestar «utiliza fuentes de precios verificadas y seguras de Chainlink para cada activo que ofrece, excepto plvGLP».
Como explicó CertiK, el explotador primero financió su billetera con 1,500 Ether (ETH) el 8 de diciembre, luego retiró ocho créditos flash por un total de aproximadamente $ 70 millones USD Coin (USDC), envolvió Ether (wETH) y DAI (DAI) dos días después. . Esto llevó el tipo de cambio plvGLP a GLP a 1,00:1,83, lo que significó que el explotador pudo tomar prestados aún más activos del protocolo.
Los préstamos consumieron rápidamente toda la liquidez de la plataforma, lo que llevó al pirata informático a transferir fondos de Lodestar y dejó a los usuarios con deudas incobrables. Se estima que el explotador obtuvo un total de $ 6,9 millones en ganancias a través del vector de ataque.
«Si bien Lodestar contacta al explotador en un intento de negociar una recompensa por errores ex post facto, es probable que los fondos sean en su mayoría no reembolsables. En ausencia de un fondo de seguro que pueda cubrir las pérdidas, los usuarios de la plataforma corren con el costo de la hazaña».
CertiK advirtió que el ataque «resultó de fallas de diseño en el protocolo, no de un error en su código de contrato inteligente». La firma de seguridad de blockchain enfatizó además que Lodestar se lanzó sin una auditoría y, por lo tanto, sin una revisión de terceros del diseño de su protocolo.
