Menurut analisis post-mortem yang diberikan oleh CertiK dari eksploitasi Lodestar Finance senilai $5.8 juta yang terjadi pada 10 Desember,
5. Peretas membakar sedikit lebih dari 3 juta di GLP, keuntungan mereka dari eksploitasi ini adalah dana yang dicuri di Lodestar – dikurangi GLP yang mereka bakar.
6. 2.8 Juta GLP dapat diperoleh kembali, yang bernilai sekitar $2.4 juta. Kami akan menjangkau peretas dan ...
— Keuangan Lodestar (,) (@LodestarFinance) Desember 10, 2022
Dalam contoh serupa, CertiK mengatakan bahwa peretas Lodestar Finance “secara artifisial memompa harga aset jaminan yang tidak likuid yang kemudian mereka pinjam, meninggalkan protokol dengan hutang yang tidak dapat diperbaiki.”
“Meskipun beberapa kerugian berpotensi dapat dipulihkan, protokol tersebut secara fungsional bangkrut saat ini, dan pengguna didesak untuk tidak membayar kembali pinjaman apa pun yang telah mereka ambil.”
Serangan tersebut terjadi melalui kerentanan pada token plvGLP PlutusDAO di Lodestar. Menurut dokumentasinya, Lodestar “menggunakan umpan harga Chainlink yang terverifikasi dan aman untuk setiap aset yang ditawarkannya kecuali plvGLP.” Sebaliknya, nilai tukar plvGLP ke GLP bergantung pada total aset dibagi total pasokan di Lodestar.
Seperti yang dijelaskan oleh CertiK, pengeksploitasi pertama-tama mendanai dompet mereka dengan 1,500 Ether (ETH) pada 8 Desember, yang kemudian mengeluarkan delapan flashloan dengan total USD Coin (USDC) senilai sekitar $70 juta, membungkus Ether (wETH), dan DAI (DAI) dua hari kemudian. Ini mendorong nilai tukar plvGLP ke GLP menjadi 1.00:1.83, yang berarti bahwa pengeksploitasi dapat meminjam lebih banyak aset dari protokol.
Pinjaman dengan cepat menghabiskan semua likuiditas di platform, membuat peretas mentransfer dana keluar dari Lodestar dan meninggalkan pengguna dengan hutang buruk. Diperkirakan bahwa pengeksploitasi menghasilkan keuntungan total $ 6.9 juta melalui vektor serangan.
“Sementara Lodestar menjangkau pengeksploitasi dalam upaya untuk menegosiasikan hadiah bug ex post facto, dana tersebut kemungkinan besar tidak dapat dipulihkan. Dengan tidak adanya dana asuransi yang dapat menutupi kerugian, pengguna platform menanggung biaya eksploitasi.”
CertiK memperingatkan bahwa serangan itu “adalah hasil dari kekurangan dalam desain protokol daripada bug dalam kode kontrak pintarnya.” Perusahaan keamanan blockchain lebih lanjut menyoroti bahwa Lodestar diluncurkan tanpa audit, dan, oleh karena itu, tanpa tinjauan pihak ketiga terhadap desain protokolnya.
Sumber: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik