A empresa de segurança blockchain, CertiK, compartilhou uma análise post-mortem da exploração Lodestar Finance de $5,8 milhões que ocorreu em 10 de dezembro:
5. The hacker burned a little over 3 million in GLP, their profit on this exploit was the stolen funds on Lodestar – minus the GLP they burned.
6. 2.8 Million of the GLP is recoverable, which is worth about $2.4 million. We are going to reach out to the hacker and…
— Lodestar Finance 🌟 (@LodestarFinance) December 10, 2022
Em um caso semelhante, a CertiK disse que os hackers da Lodestar Finance:
“Aumentaram artificialmente o preço de um ativo colateral ilíquido contra o qual eles emprestaram, deixando o protocolo com uma dívida irrecuperável. Apesar de algumas das perdas serem potencialmente recuperáveis, o protocolo está funcionalmente insolvente no momento e os usuários estão sendo instados a não pagar quaisquer empréstimos que tenham contraído.”
O ataque ocorreu por meio de uma vulnerabilidade no ‘token plvGLP’ do PlutusDAO em Lodestar. De acordo com sua documentação:
“A Lodestar usa feeds de preços Chainlink seguros e verificados para todos os ativos que oferece, com exceção do plvGLP”.
Em vez disso, a taxa de câmbio de ‘plvGLP’ para GLP dependia do total de ativos dividido pela oferta total da Lodestar.
Conforme explicado pela CertiK, o explorador primeiro financiou sua carteira com 1.500 Ether (ETH) e, em seguida, fez oito empréstimos flash para um total de aproximadamente US$70 milhões em USD Coin (USDC), Ether embrulhado (wETH) e Dai (DAI) dois dias depois. Isso elevou a taxa de câmbio ‘plvGLP/GLP’ para 1,00:1,83, o que significa que o explorador conseguiu emprestar ainda mais ativos do protocolo.
Os empréstimos rapidamente consumiram toda a liquidez da plataforma, levando o hacker a transferir os fundos para fora da Lodestar e deixando os usuários com dívidas inadimplentes. Estima-se que o explorador obteve um total de US$6,9 milhões em lucros por meio do ataque.
“Enquanto Lodestar está entrando em contato com o explorador em uma tentativa de negociar uma recompensa de bug ex post facto, os fundos provavelmente serão irrecuperáveis. Na ausência de um fundo de seguro que possa cobrir as perdas, os usuários da plataforma arcam com o custo da exploração.”
A CertiK alertou:
“O ataque é resultado de falhas no design do protocolo, e não de um bug em seu código de contrato inteligente.”
A empresa de segurança blockchain destacou ainda que o Lodestar foi lançado sem uma auditoria e, portanto, sem uma revisão de terceiros de seu design de protocolo.
