5.8월 10일 발생한 XNUMX만 달러 규모의 Lodestar Finance 익스플로잇에 대해 CertiK가 제공한 사후 분석에 따르면,
5. 해커는 GLP에서 3백만이 조금 넘는 금액을 소각했습니다. 이 익스플로잇에 대한 그들의 이익은 그들이 소각한 GLP를 뺀 Lodestar에서 훔친 자금이었습니다.
6. 2.8만 GLP가 회수 가능하며 이는 약 2.4만 달러의 가치가 있습니다. 우리는 해커에게 연락할 것이고…
— Lodestar 금융 (,) (@LodestarFinance) 2022 년 12 월 10 일
유사한 사례에서 CertiK는 Lodestar Finance 해커가 "인위적으로 비유동 담보 자산의 가격을 끌어올려 대출을 받아 프로토콜에 회수할 수 없는 부채를 남겼다"고 말했습니다.
"잠재적으로 복구 가능한 손실의 일부에도 불구하고 프로토콜은 현재 기능적으로 부실하며 사용자는 대출을 상환하지 말 것을 촉구하고 있습니다."
공격은 Lodestar에서 PlutusDAO의 plvGLP 토큰의 취약점을 통해 발생했습니다. 문서에 따르면 Lodestar는 "plvGLP를 제외하고 제공하는 모든 자산에 대해 검증되고 안전한 Chainlink 가격 피드를 사용합니다." 대신 plvGLP에서 GLP로의 교환 비율은 Lodestar의 총 자산을 총 공급으로 나눈 값에 의존했습니다.
CertiK의 설명에 따르면, 공격자는 1,500월 8일에 70 Ether(ETH)로 먼저 지갑에 자금을 조달한 다음 총 약 1.00천만 달러 상당의 USD Coin(USDC), 래핑된 Ether(wETH)에 대해 1.83개의 플래시론을 인출했습니다. 이틀 뒤 다이(DAI). 이로 인해 plvGLP에서 GLP로의 환율이 XNUMX:XNUMX이 되었으며, 이는 익스플로러가 프로토콜에서 더 많은 자산을 빌릴 수 있음을 의미합니다.
차입금은 플랫폼의 모든 유동성을 빠르게 소비하여 해커가 Lodestar에서 자금을 이체하고 사용자에게 불량 부채를 남겼습니다. 공격자는 공격 벡터를 통해 총 6.9만 달러의 수익을 올린 것으로 추정됩니다.
“Lodestar가 사후에 버그 포상금을 협상하기 위해 악용자에게 연락하는 동안 자금은 대부분 복구할 수 없을 가능성이 높습니다. 손실을 충당할 수 있는 보험 기금이 없는 경우 플랫폼 사용자가 익스플로잇 비용을 부담합니다.”
CertiK는 이번 공격이 "스마트 계약 코드의 버그가 아니라 프로토콜 설계 결함의 결과"라고 경고했습니다. 블록체인 보안 회사는 Lodestar가 감사 없이 출시되었기 때문에 프로토콜 설계에 대한 제XNUMX자의 검토 없이 출시되었다고 강조했습니다.
출처: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik