Selon une analyse post-mortem fournie par CertiK de l'exploit Lodestar Finance de 5.8 millions de dollars survenu le 10 décembre,
5. Le pirate informatique a brûlé un peu plus de 3 millions de GLP, son profit sur cet exploit était constitué des fonds volés sur Lodestar – moins les GLP qu'il a brûlés.
6. 2.8 millions de GLP sont récupérables, ce qui représente environ 2.4 millions de dollars. Nous allons contacter le pirate informatique et…
– Lodestar Finance (,) (@LodestarFinance) 10 décembre 2022
Dans un cas similaire, CertiK a déclaré que les pirates informatiques de Lodestar Finance « ont artificiellement augmenté le prix d’un actif de garantie illiquide contre lequel ils empruntent ensuite, laissant le protocole avec une dette irrécupérable ».
"Bien que certaines pertes soient potentiellement récupérables, le protocole est actuellement fonctionnellement insolvable et les utilisateurs sont invités à ne pas rembourser les prêts qu'ils ont contractés."
L'attaque s'est produite via une vulnérabilité dans le jeton plvGLP de PlutusDAO sur Lodestar. Selon sa documentation, Lodestar "utilise des flux de prix Chainlink vérifiés et sécurisés pour chaque actif qu'il propose, à l'exception de plvGLP". Au lieu de cela, le taux de change de plvGLP en GLP reposait sur le total des actifs divisé par l’offre totale sur Lodestar.
Comme l'explique CertiK, l'exploiteur a d'abord financé son portefeuille avec 1,500 8 Ether (ETH) le 70 décembre, puis a contracté huit prêts flash pour un total d'environ 1.00 millions de dollars en USD Coin (USDC), enveloppé d'Ether (wETH) et DAI (DAI) deux jours plus tard. Cela a porté le taux de change du plvGLP au GLP à 1.83 : XNUMX, ce qui signifie que l’exploitant a pu emprunter encore plus d’actifs au protocole.
Les emprunts ont rapidement consommé toutes les liquidités de la plateforme, ce qui a conduit le pirate informatique à transférer les fonds hors de Lodestar et à laisser les utilisateurs avec des dettes irrécouvrables. On estime que l’exploiteur a réalisé un total de 6.9 millions de dollars de bénéfices grâce au vecteur d’attaque.
« Bien que Lodestar contacte l'exploiteur pour tenter de négocier une prime aux bogues ex post facto, les fonds seront probablement pour la plupart irrécupérables. En l’absence d’un fonds d’assurance capable de couvrir les pertes, les utilisateurs de la plateforme supportent le coût de l’exploit.
CertiK a averti que l'attaque "est le résultat de défauts dans la conception du protocole plutôt que d'un bug dans son code de contrat intelligent". La société de sécurité blockchain a en outre souligné que Lodestar avait été lancé sans audit et, par conséquent, sans examen par un tiers de la conception de son protocole.
Source : https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik