10 Aralık’ta gerçekleşen 5,8 milyon dolarlık Lodestar Finance istismarının CertiK tarafından sağlanan ölüm sonrası analizine göre,

İlgili bir vakada CertiK, Lodestar Finance’in bilgisayar korsanlarının “likit olmayan bir teminat varlığının fiyatını suni olarak şişirdiğini ve daha sonra buna karşı borç alarak kütüğü kötü borçla bıraktığını” söyledi.

“Kayıpların bir kısmı telafi edilebilir olsa da, protokol şu anda neredeyse iflas etmiş durumda ve kullanıcılardan aldıkları kredileri geri ödememeleri isteniyor.”

Saldırı, PlutusDAO’nun Lodestar’daki plvGLP tokenindeki bir güvenlik açığı aracılığıyla gerçekleştirildi. Belgelerine göre Lodestar, “plvGLP hariç sunulan tüm varlıklar için doğrulanmış, güvenli Chainlink fiyat akışlarını” kullanıyor. Bunun yerine, plvGLP’den GLP’ye döviz kuru, toplam varlıkların toplam Lodestar arzına bölünmesine dayalıydı.

CertiK tarafından 8 Aralık’ta açıklandığı üzere, istismarcı başlangıçta cüzdanını 1.500 Ether (ETH) ile finanse etti, ardından Ether (wETH) ve DAI (DAI) ile sarılmış sekiz adet USD Coin (USDC) flash kredisi topladı ve toplamda yaklaşık 70 milyon dolar oldu. iki gün sonra. Bu, plvGLP’den GLP’ye döviz kurunu 1.00:1.83’e çıkardı, bu da istismarcının protokolden daha fazla varlık ödünç alabileceği anlamına geliyordu.

Borçlanmalar, platformdaki tüm likiditeyi hızlı bir şekilde tüketerek, bilgisayar korsanının fonları Lodestar’dan transfer etmesine ve kullanıcılara telafisi mümkün olmayan borçlar bırakmasına neden oldu. İstismarcının saldırı vektöründen toplam 6,9 milyon dolar kar elde ettiği tahmin ediliyor.

“Lodestar, ex post facto bir bug ödülü için pazarlık yapmak üzere istismarcıya ulaşırken, fonlar muhtemelen büyük ölçüde iade edilemez. Kayıpları karşılayacak bir sigorta fonunun olmaması durumunda, platformun kullanıcıları istismarın maliyetini üstlenirler.”

CertiK, saldırının “akıllı sözleşme kodundaki bir kusur değil, protokol tasarımındaki kusurların sonucu olduğu” konusunda uyardı. Blockchain güvenlik firması ayrıca, Lodestar’ın herhangi bir denetim olmaksızın başlatıldığını ve bu nedenle protokol tasarımının üçüncü taraflarca doğrulanmadığını vurguladı.