攻击者赚取了近 690 万美元的利润,并给用户留下了一堆坏账。
区块链安全公司CertiK分享了对12月10日发生的580万美元的Lodestar Finance漏洞利用事件的事后分析:
黑客烧毁了 300 多万的 GLP,他们从这个漏洞中获得的利润是 Lodestar 上的被盗资金 – 减去他们烧毁的 GLP。
280万的GLP是可收回的,价值约240万美元。我们将联系黑客并…— 罗德斯达金融
在类似的例子中,CertiK表示,Lodestar
Finance黑客“人为地抬高了流动性不足的抵押资产的价格,然后他们借款,使协议背负着无法挽回的债务。
“尽管一些损失有可能收回,但该协议目前功能上资不抵债,并敦促用户不要偿还他们所获得的任何贷款。
攻击是通过Lodestar上的PlutusDAO的plvGLP令牌中的漏洞发生的。根据其文档,Lodestar“为其提供的所有资产使用经过验证的安全Chainlink价格馈送,但plvGLP除外。相反,plvGLP对GLP的汇率依赖于总资产除以Lodestar的总供应量。
正如CertiK所解释的那样,攻击者首先用1,500以太币为他们的钱包注资。以太币$1,268
12月8日,然后进行了八笔闪电贷款,总价值约7000万美元的美元硬币美国贸易部$1.00、包裹的以太币(wETH)和DAI$1.00两天后。这将plvGLP/GLP汇率推高至1.00:1.83,这意味着攻击者能够从协议中借入更多资产。
借款迅速消耗了平台上的所有流动性,导致黑客将资金转出Lodestar,并给用户留下坏账。据估计,该漏洞利用者通过攻击媒介总共获得了 690
万美元的利润。
“虽然Lodestar正在与剥削者联系,试图事后协商漏洞赏金,但这些资金可能大多无法收回。在没有可以弥补损失的保险基金的情况下,平台的用户承担漏洞利用的成本。
CertiK警告说,这次攻击“是协议设计缺陷的结果,而不是其智能合约代码中的错误。这家区块链安全公司进一步强调,Lodestar在没有审计的情况下启动,因此没有对其协议设计进行第三方审查。
免责声明: 文章源于会员发布,不作为任何投资建议
如有侵权请联系我们删除,本文链接:https://www.vrvkongtiao.com/qukuai/115775.html
微信扫一扫 
