5.8 दिसंबर को हुए $10 मिलियन के लोडस्टार फाइनेंस शोषण के CertiK द्वारा प्रदान किए गए पोस्ट-मॉर्टम विश्लेषण के अनुसार,
5. हैकर ने जीएलपी में 3 मिलियन से थोड़ा अधिक जला दिया, इस कारनामे पर उनका लाभ लोडस्टार पर चुराया गया धन था - जीएलपी को घटाकर उन्होंने जला दिया।
6. 2.8 मिलियन जीएलपी वसूली योग्य है, जिसकी कीमत लगभग 2.4 मिलियन डॉलर है। हम हैकर तक पहुंचने जा रहे हैं और…
— लोडस्टार फाइनेंस (,) (@LodestarFinance) दिसम्बर 10/2022
इसी तरह के उदाहरण में, CertiK ने कहा कि Lodestar Finance हैकर्स ने "कृत्रिम रूप से एक अतरल संपार्श्विक संपत्ति की कीमत को बढ़ा दिया है, जिसके खिलाफ वे उधार लेते हैं, समझौते को अपरिवर्तनीय ऋण के साथ छोड़ देते हैं।"
"कुछ नुकसान संभावित रूप से पुनर्प्राप्त करने योग्य होने के बावजूद, प्रोटोकॉल अभी कार्यात्मक रूप से दिवालिया है, और उपयोगकर्ताओं से आग्रह किया जा रहा है कि वे अपने द्वारा लिए गए किसी भी ऋण का भुगतान न करें।"
यह हमला लोडस्टार पर प्लूटसडीएओ के पीएलवीजीएलपी टोकन में भेद्यता के कारण हुआ। इसके प्रलेखन के अनुसार, लोडस्टार "पीएलवीजीएलपी के अपवाद के साथ प्रदान की जाने वाली प्रत्येक संपत्ति के लिए सत्यापित, सुरक्षित चैनलिंक मूल्य फ़ीड का उपयोग करता है।" इसके बजाय, plvGLP से GLP की विनिमय दर लोडस्टार पर कुल आपूर्ति से विभाजित कुल संपत्ति पर निर्भर थी।
जैसा कि CertiK द्वारा समझाया गया है, शोषक ने सबसे पहले 1,500 दिसंबर को 8 ईथर (ETH) के साथ अपने बटुए को वित्त पोषित किया, जिसने फिर यूएसडी कॉइन (USDC) के लगभग $70 मिलियन मूल्य के कुल आठ फ्लैशलोन निकाले, ईथर (wETH) को लपेटा, और DAI (DAI) दो दिन बाद। इससे plvGLP की विनिमय दर GLP से 1.00:1.83 हो गई, जिसका अर्थ था कि शोषक प्रोटोकॉल से और भी अधिक संपत्ति उधार लेने में सक्षम था।
उधारों ने मंच पर सभी तरलता को जल्दी से खा लिया, जिसके कारण हैकर ने लॉडेस्टार से धनराशि स्थानांतरित कर दी और उपयोगकर्ताओं को खराब ऋण के साथ छोड़ दिया। ऐसा अनुमान है कि शोषक ने अटैक वेक्टर के माध्यम से कुल $6.9 मिलियन का मुनाफा कमाया।
"जबकि लोडस्टार बग बाउंटी एक्स पोस्ट फैक्टो पर बातचीत करने के प्रयास में शोषक तक पहुंच रहा है, धन ज्यादातर अप्राप्य होने की संभावना है। एक बीमा कोष की अनुपस्थिति में जो नुकसान को कवर कर सकता है, प्लेटफ़ॉर्म के उपयोगकर्ता शोषण की लागत वहन करते हैं।
CertiK ने चेतावनी दी कि हमला "इसके स्मार्ट कॉन्ट्रैक्ट कोड में बग के बजाय प्रोटोकॉल के डिज़ाइन में खामियों का परिणाम है।" ब्लॉकचैन सिक्योरिटी फर्म ने आगे बताया कि लोडस्टार बिना ऑडिट के लॉन्च किया गया था, और इसलिए, इसके प्रोटोकॉल डिजाइन की तीसरे पक्ष की समीक्षा के बिना।
स्रोत: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik