黑客复制了芒果市场攻击者的方法来利用Lodestar

行业资讯1年前 (2023)发布 领域OK
115 0 0

攻击者赚取了近 690 万美元的利润,并给用户留下了一堆坏账。

欧易
欧易(OKX)

全球三大交易所之一,注册领50U数币盲盒,币圈常用的交易平台!

币安
币安(Binance)

币安交易所是世界领先的数字货币交易平台,注册领100U。

区块链安全公司CertiK分享了对12月10日发生的580万美元的Lodestar Finance漏洞利用事件的事后分析:

黑客烧毁了 300 多万的 GLP,他们从这个漏洞中获得的利润是 Lodestar 上的被盗资金 – 减去他们烧毁的 GLP。

280万的GLP是可收回的,价值约240万美元。我们将联系黑客并…— 罗德斯达金融

在类似的例子中,CertiK表示,Lodestar Finance黑客“人为地抬高了流动性不足的抵押资产的价格,然后他们借款,使协议背负着无法挽回的债务。

“尽管一些损失有可能收回,但该协议目前功能上资不抵债,并敦促用户不要偿还他们所获得的任何贷款。

黑客复制了芒果市场攻击者的方法来利用Lodestar

攻击是通过Lodestar上的PlutusDAO的plvGLP令牌中的漏洞发生的。根据其文档,Lodestar“为其提供的所有资产使用经过验证的安全Chainlink价格馈送,但plvGLP除外。相反,plvGLP对GLP的汇率依赖于总资产除以Lodestar的总供应量。

正如CertiK所解释的那样,攻击者首先用1,500以太币为他们的钱包注资。以太币$1,268 12月8日,然后进行了八笔闪电贷款,总价值约7000万美元的美元硬币美国贸易部$1.00、包裹的以太币(wETH)和DAI$1.00两天后。这将plvGLP/GLP汇率推高至1.00:1.83,这意味着攻击者能够从协议中借入更多资产。

借款迅速消耗了平台上的所有流动性,导致黑客将资金转出Lodestar,并给用户留下坏账。据估计,该漏洞利用者通过攻击媒介总共获得了 690 万美元的利润。

“虽然Lodestar正在与剥削者联系,试图事后协商漏洞赏金,但这些资金可能大多无法收回。在没有可以弥补损失的保险基金的情况下,平台的用户承担漏洞利用的成本。

CertiK警告说,这次攻击“是协议设计缺陷的结果,而不是其智能合约代码中的错误。这家区块链安全公司进一步强调,Lodestar在没有审计的情况下启动,因此没有对其协议设计进行第三方审查。

© 版权声明

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...