黑客复制了芒果市场攻击者的方法来利用Lodestar

攻击者赚取了近 690 万美元的利润，并给用户留下了一堆坏账。

区块链安全公司CertiK分享了对12月10日发生的580万美元的Lodestar Finance漏洞利用事件的事后分析：

黑客烧毁了 300 多万的 GLP，他们从这个漏洞中获得的利润是 Lodestar 上的被盗资金 – 减去他们烧毁的 GLP。

280万的GLP是可收回的，价值约240万美元。我们将联系黑客并…— 罗德斯达金融

在类似的例子中，CertiK表示，Lodestar Finance黑客“人为地抬高了流动性不足的抵押资产的价格，然后他们借款，使协议背负着无法挽回的债务。

“尽管一些损失有可能收回，但该协议目前功能上资不抵债，并敦促用户不要偿还他们所获得的任何贷款。

攻击是通过Lodestar上的PlutusDAO的plvGLP令牌中的漏洞发生的。根据其文档，Lodestar“为其提供的所有资产使用经过验证的安全Chainlink价格馈送，但plvGLP除外。相反，plvGLP对GLP的汇率依赖于总资产除以Lodestar的总供应量。

正如CertiK所解释的那样，攻击者首先用1，500以太币为他们的钱包注资。以太币$1，268 12月8日，然后进行了八笔闪电贷款，总价值约7000万美元的美元硬币美国贸易部$1.00、包裹的以太币(wETH)和DAI$1.00两天后。这将plvGLP/GLP汇率推高至1.00：1.83，这意味着攻击者能够从协议中借入更多资产。

借款迅速消耗了平台上的所有流动性，导致黑客将资金转出Lodestar，并给用户留下坏账。据估计，该漏洞利用者通过攻击媒介总共获得了 690 万美元的利润。

“虽然Lodestar正在与剥削者联系，试图事后协商漏洞赏金，但这些资金可能大多无法收回。在没有可以弥补损失的保险基金的情况下，平台的用户承担漏洞利用的成本。

CertiK警告说，这次攻击“是协议设计缺陷的结果，而不是其智能合约代码中的错误。这家区块链安全公司进一步强调，Lodestar在没有审计的情况下启动，因此没有对其协议设计进行第三方审查。