黑客复制了 Mango Markets 攻击者的方法来利用 Lodestar

据悉，区块链安全公司CertiK分享了对12月10日发生的价值580万美元的LodestarFinance漏洞的事后分析。

在类似的例子中，CertiK表示，LodestarFinance黑客“人为地抬高了一种非流动性抵押资产的价格，然后他们以此为抵押进行借贷，从而使该协议背上了无法挽回的债务。”

“尽管一些损失可能是可以弥补的，但该协议目前在功能上已经资不抵债，并且正在敦促用户不要偿还他们借出的任何贷款。”

该攻击是通过Lodestar上PlutusDAO的plvGLP令牌中的漏洞发生的。根据其文档，Lodestar“对其提供的每项资产都使用经过验证的、安全的Chainlink价格信息，plvGLP除外。”相反，plvGLP对GLP的汇率取决于总资产除以Lodestar的总供应量。

正如CertiK所解释的那样，攻击者首先在12月8日用1,500个以太币(ETH)为他们的钱包提供资金，然后提取了八笔闪电贷款，总共价值约7000万美元的美元代币(USDC)、包裹的以太币(wETH)，以及两天后戴（DAI）。这将plvGLP/GLP汇率推高至1.00:1.83，这意味着开发者能够从协议中借入更多资产。

借款很快耗尽了平台上的所有流动性，导致黑客将资金转移出Lodestar，给用户留下了坏账。据估计，利用者通过攻击向量共计获利690万美元。

“虽然Lodestar正在与开发者联系，试图事后协商漏洞赏金，但这些资金很可能大部分无法收回。在没有可以弥补损失的保险基金的情况下，该平台的用户承担了利用成本。”

CertiK警告说，这次攻击“是协议设计缺陷的结果，而不是其智能合约代码中的错误。”这家区块链安全公司进一步强调，Lodestar是在未经审计的情况下启动的，因此也没有对其协议设计进行第三方审查。