Blockchain güvenlik şirketi CertiK, 10 Aralık’ta meydana gelen 5,8 milyon dolarlık Lodestar Finance istismarının ölüm sonrası analizini paylaştı:
5. Bilgisayar korsanı GLP’de 3 milyondan biraz fazla yaktı, bu istismardan elde ettikleri kâr, Lodestar’da çalınan fonlar eksi yaktıkları GLP idi.
6. GLP’nin 2,8 Milyonu geri alınabilir, bu da yaklaşık 2,4 milyon $ değerindedir. Hacker’a ulaşacağız ve…
— Lodestar Finans (,) (@LodestarFinance) 10 Aralık 2022
Benzer bir örnekte CertiK, Lodestar Finance bilgisayar korsanlarının “likit olmayan bir teminat varlığının fiyatını suni olarak yükselttiklerini ve ardından karşılığında borç alarak protokolü geri alınamaz bir borçla bıraktıklarını” söyledi.
“Kayıpların bir kısmı potansiyel olarak telafi edilebilir olmasına rağmen, protokol şu anda işlevsel olarak iflas etmiş durumda ve kullanıcılardan aldıkları kredileri geri ödememeleri isteniyor.”
Saldırı, PlutusDAO’nun Lodestar’daki plvGLP belirtecindeki bir güvenlik açığı aracılığıyla gerçekleşti. Belgelerine göre, Lodestar “plvGLP hariç sunduğu her varlık için doğrulanmış, güvenli Chainlink fiyat akışlarını kullanıyor.” Bunun yerine, plvGLP’nin GLP’ye döviz kuru, toplam varlıkların Lodestar’daki toplam arza bölünmesine dayanıyordu.
CertiK tarafından açıklandığı üzere, istismarcı cüzdanını ilk olarak 8 Aralık’ta 1.500 Ether (ETH) ile finanse etti ve ardından toplam yaklaşık 70 milyon $ değerinde USD Coin (USDC), Ether (wETH) ve Dai (DAI) iki gün sonra. Bu, plvGLP/GLP döviz kurunu 1.00:1.83’e çıkardı, bu da istismarcının protokolden daha fazla varlık ödünç alabilmesi anlamına geliyordu.
Borçlanmalar, platformdaki tüm likiditeyi hızla tüketerek bilgisayar korsanının fonları Lodestar’dan transfer etmesine ve kullanıcıların kötü bir borca sahip olmasına neden oldu. İstismarcının saldırı vektörü aracılığıyla toplam 6,9 milyon dolar kar elde ettiği tahmin ediliyor.
“Lodestar, ex post facto bir bug ödülü için pazarlık yapmak amacıyla istismarcıya ulaşırken, fonlar büyük olasılıkla geri alınamayacak durumda. Kayıpları karşılayabilecek bir sigorta fonunun yokluğunda, platformun kullanıcıları istismarın maliyetini üstlenir.”
CertiK, saldırının “akıllı sözleşme kodundaki bir hatadan ziyade protokolün tasarımındaki kusurların sonucu olduğu” konusunda uyardı. Blockchain güvenlik firması ayrıca, Lodestar’ın bir denetim olmadan ve dolayısıyla protokol tasarımının üçüncü tarafça incelenmesi olmadan piyasaya sürüldüğünü vurguladı.