区块链产业
中国区块链新闻网讯,无许可跨链燃烧协议BlackHoleProtocol获得GateLabs、MXCLabs、红链资本、心跳加速...
区块链投资
中国区块链新闻网讯,社交网络平台BitClout创始人Diamondhands在发给Coindesk的邮件中披露了一份BitClou...
黑客复制了 Mango Markets 攻击者的方法来利用 Lodestar
发布时间:2022/12/13 区块链见闻 浏览:98
据悉,区块链安全公司CertiK分享了对12月10日发生的价值580万美元的LodestarFinance漏洞的事后分析。
在类似的例子中,CertiK表示,LodestarFinance黑客“人为地抬高了一种非流动性抵押资产的价格,然后他们以此为抵押进行借贷,从而使该协议背上了无法挽回的债务。”
“尽管一些损失可能是可以弥补的,但该协议目前在功能上已经资不抵债,并且正在敦促用户不要偿还他们借出的任何贷款。”
该攻击是通过Lodestar上PlutusDAO的plvGLP令牌中的漏洞发生的。根据其文档,Lodestar“对其提供的每项资产都使用经过验证的、安全的Chainlink价格信息,plvGLP除外。”相反,plvGLP对GLP的汇率取决于总资产除以Lodestar的总供应量。
正如CertiK所解释的那样,攻击者首先在12月8日用1,500个以太币(ETH)为他们的钱包提供资金,然后提取了八笔闪电贷款,总共价值约7000万美元的美元代币(USDC)、包裹的以太币(wETH),以及两天后戴(DAI)。这将plvGLP/GLP汇率推高至1.00:1.83,这意味着开发者能够从协议中借入更多资产。
借款很快耗尽了平台上的所有流动性,导致黑客将资金转移出Lodestar,给用户留下了坏账。据估计,利用者通过攻击向量共计获利690万美元。
“虽然Lodestar正在与开发者联系,试图事后协商漏洞赏金,但这些资金很可能大部分无法收回。在没有可以弥补损失的保险基金的情况下,该平台的用户承担了利用成本。”
CertiK警告说,这次攻击“是协议设计缺陷的结果,而不是其智能合约代码中的错误。”这家区块链安全公司进一步强调,Lodestar是在未经审计的情况下启动的,因此也没有对其协议设计进行第三方审查。