فن آوری

هکرها از روش های مهاجم Mango Markets برای سوء استفاده از Lodestar: CertiK کپی کردند

12/12/2022
اخبار بیت کوین اتریوم

بر اساس تجزیه و تحلیل پس از مرگ ارائه شده توسط CertiK از سوء استفاده 5.8 میلیون دلاری Lodestar Finance که در 10 دسامبر رخ داد، 

در یک نمونه مشابه، CertiK گفت که هکرهای Lodestar Finance "به طور مصنوعی قیمت یک دارایی وثیقه غیرنقدی را که در مقابل آن وام می گیرند، پمپ می کنند و پروتکل را با بدهی غیرقابل برگشت باقی می گذارند."

علیرغم اینکه برخی از زیان‌ها به طور بالقوه قابل جبران هستند، پروتکل در حال حاضر از نظر عملکردی ورشکسته است و از کاربران خواسته می‌شود که وام‌هایی را که گرفته‌اند بازپرداخت نکنند.

این حمله از طریق یک آسیب پذیری در توکن plvGLP PlutusDAO در Lodestar رخ داد. طبق مستندات خود، Lodestar "برای هر دارایی که ارائه می دهد به استثنای plvGLP از فیدهای قیمت زنجیره ای تایید شده و ایمن استفاده می کند." در عوض، نرخ مبادله plvGLP به GLP بر کل دارایی تقسیم بر کل عرضه در Lodestar متکی بود.

همانطور که توسط CertiK توضیح داده شد، بهره‌بردار ابتدا کیف پول خود را با 1,500 اتر (ETH) در 8 دسامبر تأمین مالی کرد، و سپس هشت وام فلش وام گرفت که در مجموع به ارزش تقریبی 70 میلیون دلار USDC (USDC)، اتر (wETH) پیچیده شده بود. DAI (DAI) دو روز بعد. این باعث شد که نرخ مبادله plvGLP به GLP به 1.00:1.83 برسد، که به این معنی است که بهره‌بردار می‌تواند دارایی‌های بیشتری را از پروتکل قرض بگیرد.

وام‌گیری‌ها به سرعت تمام نقدینگی موجود در پلتفرم را مصرف کرد و باعث شد هکر وجوه را به خارج از Lodestar منتقل کند و کاربران را با بدهی بدی مواجه کند. تخمین زده می شود که بهره بردار در مجموع 6.9 میلیون دلار از طریق بردار حمله سود کسب کرده است.

«در حالی که Lodestar در تلاش برای مذاکره در مورد پاداش باگ است، به احتمال زیاد وجوه عمدتا غیرقابل بازیافت هستند. در غیاب صندوق بیمه ای که بتواند زیان ها را پوشش دهد، کاربران پلتفرم هزینه بهره برداری را متحمل می شوند.»

CertiK هشدار داد که این حمله "نتیجه نقص در طراحی پروتکل است تا یک اشکال در کد قرارداد هوشمند آن." شرکت امنیتی بلاک چین همچنین تاکید کرد که Lodestar بدون ممیزی و بنابراین بدون بررسی شخص ثالث طراحی پروتکل خود راه اندازی شده است.