10 Aralık’ta meydana gelen 5,8 milyon dolarlık Lodestar Finance istismarına ilişkin CertiK analizine göre, Lodestar protokolü artık işlevsel olarak iflas etmiş durumda.
5. The hacker burned a little over 3 million in GLP, their profit on this exploit was the stolen funds on Lodestar – minus the GLP they burned.
6. 2.8 Million of the GLP is recoverable, which is worth about $2.4 million. We are going to reach out to the hacker and…
— Lodestar Finance (,) (@LodestarFinance) December 10, 2022
CertiK, Lodestar Finance bilgisayar korsanlarının “likit olmayan bir teminat varlığının fiyatını yapay olarak yükselttiklerini ve daha sonra buna karşı borç aldıklarını ve protokolü geri alınamaz bir borçla başbaşa bıraktığını,” söyledi.
“Kayıpların bir kısmı potansiyel olarak geri alınabilir olmasına rağmen protokol şu anda işlevsel olarak iflas etmiş durumda ve kullanıcılardan aldıkları kredileri geri ödememeleri isteniyor.”
Saldırı, PlutusDAO’nun Lodestar’daki plvGLP tokenindeki bir güvenlik açığı aracılığıyla gerçekleşti. Lodestar, belgelerine göre, plvGLP hariç sunduğu her varlık için doğrulanmış, güvenli Chainlink fiyat akışlarını kullanıyor. Bunun yerine plvGLP’nin GLP’ye döviz kuru, toplam varlıkların Lodestar’daki toplam arza bölünmesine dayanıyordu.
CertiK’nın da açıkladığı gibi bilgisayar korsanı, cüzdanını ilk olarak 8 Aralık’ta 1.500 Ether (ETH) ile finanse etti, daha sonra toplam yaklaşık 70 milyon dolar değerinde USD Coin (USDC), sarılı Ether (wETH) ve DAI (DAI) için sekiz kredi aldı. Bu, plvGLP’nin GLP’ye olan döviz kurunu 1.00:1.83’e çıkardı, bu da bilgisayar korsanının protokolden daha fazla varlık ödünç alabilmesi anlamına geliyor.
Borçlanmalar, platformdaki tüm likiditeyi hızla tüketerek bilgisayar korsanının fonları Lodestar’dan transfer etmesine ve kullanıcıların kötü bir borçla başbaşa kalmasına neden oldu. Bilgisayar korsanının saldırı aracılığıyla toplam 6,9 milyon dolar kar elde ettiği tahmin ediliyor.
“Lodestar, ödül için pazarlık yapmak amacıyla bilgisayar korsanına ulaşırken, fonların çoğunlukla geri alınamaz olması muhtemel. Kayıpları karşılayabilecek bir sigorta fonunun yokluğunda, platformun kullanıcıları istismarın maliyetini üstleniyor.”
CertiK ayrıca saldırının, akıllı sözleşme kodundaki bir hatadan ziyade protokolün tasarımındaki kusurların sonucu olduğu konusunda uyardı. Blokzinciri güvenlik firması, Lodestar’ın bir denetim olmadan ve dolayısıyla protokol tasarımının herhangi bir üçüncü taraf incelenmesi olmadan piyasaya sürüldüğünü vurguladı.
