5.8-р сарын 10-нд болсон Lodestar Finance-ийн XNUMX сая ам.долларын мөлжлөгийн талаар CertiK-аас өгсөн үхлийн дараах шинжилгээгээр,
5. Хакер GLP-д 3 саяас бага зэрэг шатаасан бөгөөд тэдний энэ мөлжлөгөөс олох ашиг нь Lodestar дээрх хулгайлагдсан хөрөнгө байсан бөгөөд шатаасан GLP-ийг хассан байна.
6. GLP-ийн 2.8 саяыг нөхөх боломжтой бөгөөд энэ нь ойролцоогоор 2.4 сая долларын үнэтэй юм. Бид хакертай холбоо барьж,…
— Lodestar Finance (,) (@LodestarFinance) Арванхоёрдугаар сар 10, 2022
Үүнтэй төстэй тохиолдолд CertiK хэлэхдээ Lodestar Finance хакерууд "хөрвөх чадваргүй барьцаа хөрөнгийн үнийг зохиомлоор өсгөж, дараа нь зээлж, протоколыг нөхөж баршгүй өртэй болгосон" гэж мэдэгджээ.
"Хэдийгээр зарим алдагдлыг нөхөх боломжтой хэдий ч уг протокол яг одоо төлбөрийн чадваргүй байгаа тул хэрэглэгчдэд авсан зээлээ төлөхгүй байхыг уриалж байна."
Энэ халдлага нь Lodestar дээрх PlutusDAO-ийн plvGLP жетон дахь эмзэг байдлаас болж гарсан. Баримт бичгийн дагуу Lodestar нь "plvGLP-ээс бусад санал болгож буй бүх хөрөнгөө баталгаажуулсан, найдвартай Chainlink үнийн хангамжийг ашигладаг." Үүний оронд plvGLP-ийн GLP-ийн ханшийг Lodestar-ын нийт нийлүүлэлтэд хуваасан нийт хөрөнгийг тооцсон.
CertiK-ийн тайлбарласнаар мөлжлөгч эхлээд 1,500-р сарын 8-нд түрийвчээ 70 эфирээр (ETH) санхүүжүүлсэн бөгөөд тэд дараа нь ойролцоогоор 1.00 сая ам.долларын үнэ бүхий USD Coin (USDC), ороосон эфир (wETH) болон найман флаш зээл авч, DAI (DAI) хоёр өдрийн дараа. Энэ нь plvGLP-ийн GLP-ийн ханшийг 1.83:XNUMX болгон хүргэсэн бөгөөд энэ нь мөлжигч протоколоос илүү их хөрөнгийг зээлэх боломжтой болсон гэсэн үг юм.
Зээл авсан нь платформ дээрх бүх хөрвөх чадварыг хурдан зарцуулж, хакеруудыг Lodestar-аас мөнгө шилжүүлэхэд хүргэж, хэрэглэгчдийг муу өртэй болгосон. Мөлжигч нь халдлагын вектороор дамжуулан нийт 6.9 сая ам.долларын ашиг олсон гэсэн тооцоо бий.
"Lodestar алдааны шагналыг ex post facto тохиролцохоор мөлжигчтэй холбоо барьж байгаа хэдий ч санхүүжилт нь ихэвчлэн нөхөгдөөгүй байх магадлалтай. Алдагдлыг нөхөх даатгалын сан байхгүй тохиолдолд ашиглалтын зардлыг платформын хэрэглэгчид хариуцдаг."
CertiK энэ халдлага нь "ухаалаг гэрээний кодын алдаа гэхээсээ илүү протоколын дизайны алдааны үр дүн" гэж анхааруулав. Блокчейн аюулгүй байдлын компани Lodestar нь аудит хийлгүйгээр, тиймээс протоколын дизайныг гуравдагч этгээдээр хянуулалгүйгээр эхлүүлсэн гэдгийг онцлон тэмдэглэв.
Эх сурвалж: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik