هکرها از راه های مهاجم Mango Markets برای سوء استفاده از Lodestar: CertiK کپی کردند

امیر کرمی
دسامبر 12, 2022
6:51 ب.ظ
بدون نظر
بازدید: 110

مهاجم نزدیک به 6.9 میلیون دلار سود به دست آورد و کاربران را با انبوهی از بدهی های بد مواجه کرد.

بر اساس تجزیه و تحلیل پس از مرگ ارائه شده توسط CertiK از سوء استفاده 5.8 میلیون دلاری Lodestar Finance که در دسامبر رخ داد.

5. هکر کمی بیش از 3 میلیون در GLP سوزاند، سود آنها از این سوء استفاده وجوه دزدیده شده در Lodestar منهای GLP بود که سوزاندند.
6. 2.8 میلیون GLP قابل بازیابی است که ارزش آن تقریباً 2.4 میلیون دلار است. به هکر می رسیم و…
— Lodestar Finance (،) (@LodestarFinance) 10 دسامبر 2022

در یک نمونه مشابه، CertiK گفت که هکرهای Lodestar Finance “به طور مصنوعی قیمت یک دارایی وثیقه غیر نقدشونده را افزایش دادند و سپس در ازای آن پول قرض کردند و پروتکل را با یک بدهی غیرقابل برگشت ترک کردند.”

اگرچه برخی از زیان‌ها به طور بالقوه قابل جبران هستند، پروتکل در حال حاضر از نظر عملکردی ورشکسته است و از کاربران خواسته می‌شود که وام‌های خود را بازپرداخت نکنند.»

این حمله از طریق یک آسیب‌پذیری در توکن plvGLP PlutusDAO در Lodestar انجام شد. طبق مستندات خود، Lodestar برای هر دارایی که ارائه می دهد، به جز plvGLP، از جریان های قیمتی تایید شده و ایمن Chainlink استفاده می کند. در عوض، نرخ مبادله plvGLP به GLP بر اساس کل دارایی تقسیم بر کل عرضه در Lodestar بود.

همانطور که توسط CertiK اعلام شد، بهره‌بردار ابتدا کیف پول خود را با 1500 اتر (ETH) در 8 دسامبر، سپس USD Coin (USDC)، اتر (wETH) و DAI (DAI) در مجموع حدود 70 میلیون دلار دو روز بعد تامین کرد. این نرخ تبدیل plvGLP به GLP را به 1.00:1.83 افزایش داد، به این معنی که بهره‌بردار می‌تواند دارایی‌های بیشتری را از پروتکل قرض کند.

وام‌گیری‌ها به سرعت تمام نقدینگی موجود در پلتفرم را مصرف کرد و باعث شد هکر وجوهی را از Lodestar منتقل کند و در نهایت با بدهی بد کاربران مواجه شود. تخمین زده می شود که بهره بردار از طریق بردار حمله، در مجموع 6.9 میلیون دلار سود کسب کرده است.

“در حالی که Lodestar برای مذاکره در مورد پاداش باگ بعد از رویداد به سراغ سوء استفاده کننده می رود، وجوه به احتمال زیاد غیرقابل جبران است. در غیاب صندوق بیمه ای که بتواند خسارت ها را پوشش دهد، کاربران پلت فرم هزینه سوء استفاده را متحمل می شوند.”

CertiK هشدار داد که این حمله “نتیجه نقص در طراحی پروتکل است، نه یک اشکال در کد قرارداد هوشمند.” شرکت امنیتی بلاک چین همچنین تاکید کرد که Lodestar بدون ممیزی منتشر شد و بنابراین هیچ بررسی شخص ثالثی از طراحی پروتکل انجام نشد.

نویسنده: Zhiyuan Sun

اشتراک گذاری و حمایت

امیر کرمی

کارشناس تولید محتوا و علاقه مند به ارز دیجیتال و دنیای فناوری 😉

دیدگاهتان را بنویسید لغو پاسخ

برای نوشتن دیدگاه باید وارد بشوید.