ອີງຕາມການວິເຄາະຫຼັງການຕາຍສະຫນອງໃຫ້ໂດຍ CertiK ຂອງ $5.8 ລ້ານການຂຸດຄົ້ນທາງການເງິນ Lodestar ທີ່ເກີດຂຶ້ນໃນເດືອນທັນວາ 10.
5. ແຮກເກີໄດ້ຈູດ GLP ຫຼາຍກວ່າ 3 ລ້ານຄົນ, ກໍາໄລຂອງພວກເຂົາຈາກການຂູດຮີດນີ້ແມ່ນເງິນທີ່ຖືກລັກໃນ Lodestar - ລົບ GLP ທີ່ພວກເຂົາເຜົາ.
6. 2.8 ລ້ານຂອງ GLP ສາມາດຟື້ນຕົວໄດ້, ເຊິ່ງມີມູນຄ່າປະມານ 2.4 ລ້ານໂດລາ. ພວກເຮົາຈະໄປເຖິງພວກແຮກເກີແລະ…
— Lodestar Finance (,) (@LodestarFinance) ເດືອນທັນວາ 10, 2022
ໃນຕົວຢ່າງທີ່ຄ້າຍຄືກັນ, CertiK ກ່າວວ່າພວກແຮກເກີ Lodestar Finance "ໄດ້ປອມຕົວລາຄາຂອງຊັບສິນຄ້ຳປະກັນທີ່ບໍ່ເປັນລະບຽບທີ່ເຂົາເຈົ້າກູ້ຢືມຈາກນັ້ນ, ເຊິ່ງເຮັດໃຫ້ອະນຸສັນຍາມີໜີ້ສິນທີ່ບໍ່ສາມາດກູ້ຄືນໄດ້."
"ເຖິງວ່າຈະມີບາງການສູນເສຍທີ່ອາດຈະສາມາດຟື້ນຕົວໄດ້, ໂປໂຕຄອນແມ່ນ insolent ເຮັດວຽກໃນປັດຈຸບັນ, ແລະຜູ້ໃຊ້ກໍາລັງຖືກກະຕຸ້ນບໍ່ໃຫ້ຈ່າຍຄືນເງິນກູ້ຢືມໃດໆທີ່ພວກເຂົາໄດ້ເອົາອອກ."
ການໂຈມຕີດັ່ງກ່າວເກີດຂຶ້ນຜ່ານຊ່ອງໂຫວ່ຢູ່ໃນເຄື່ອງໝາຍ plvGLP ຂອງ PlutusDAO ໃນ Lodestar. ອີງຕາມເອກະສານຂອງມັນ, Lodestar "ໃຊ້ຟີດລາຄາ Chainlink ທີ່ຖືກຢືນຢັນ, ປອດໄພສໍາລັບທຸກໆຊັບສິນທີ່ມັນສະເຫນີໃຫ້ຍົກເວັ້ນ plvGLP." ແທນທີ່ຈະ, ອັດຕາແລກປ່ຽນຂອງ plvGLP ເຖິງ GLP ແມ່ນຂຶ້ນກັບຊັບສິນທັງໝົດແບ່ງດ້ວຍການສະໜອງທັງໝົດໃນ Lodestar.
ດັ່ງທີ່ໄດ້ອະທິບາຍໂດຍ CertiK, ຜູ້ຂູດຮີດໄດ້ໃຫ້ທຶນຄັ້ງທໍາອິດກັບກະເປົາເງິນຂອງພວກເຂົາດ້ວຍ 1,500 Ether (ETH) ໃນວັນທີ 8 ທັນວາ, ຜູ້ທີ່ໄດ້ເອົາ flashloans ແປດອັນສໍາລັບມູນຄ່າປະມານ 70 ລ້ານໂດລາສະຫະລັດ (USDC), ຫໍ່ Ether (wETH), ແລະ DAI (DAI) ສອງມື້ຕໍ່ມາ. ນີ້ເຮັດໃຫ້ອັດຕາແລກປ່ຽນຂອງ plvGLP ເປັນ GLP ເປັນ 1.00: 1.83, ຊຶ່ງຫມາຍຄວາມວ່າຜູ້ຂູດຮີດສາມາດກູ້ຢືມຊັບສິນເພີ່ມເຕີມຈາກໂປໂຕຄອນ.
ເງິນກູ້ຢືມໄດ້ບໍລິໂພກສະພາບຄ່ອງທັງຫມົດຢ່າງໄວວາໃນເວທີ, ເຮັດໃຫ້ແຮກເກີໂອນເງິນອອກຈາກ Lodestar ແລະເຮັດໃຫ້ຜູ້ໃຊ້ມີຫນີ້ສິນທີ່ບໍ່ດີ. ຄາດຄະເນວ່າຜູ້ຂູດຮີດໄດ້ສ້າງຜົນກຳໄລທັງໝົດ 6.9 ລ້ານໂດລາສະຫະລັດ ຜ່ານການໂຈມຕີ.
"ໃນຂະນະທີ່ Lodestar ກໍາລັງເອື້ອມອອກໄປຫາຜູ້ຂູດຮີດໃນຄວາມພະຍາຍາມທີ່ຈະເຈລະຈາກ່ຽວກັບ bug bounty ex post facto, ເງິນທຶນສ່ວນຫຼາຍແມ່ນບໍ່ສາມາດຟື້ນຕົວໄດ້. ໃນກໍລະນີທີ່ບໍ່ມີກອງທຶນປະກັນໄພທີ່ສາມາດກວມເອົາການສູນເສຍ, ຜູ້ໃຊ້ຂອງເວທີຮັບຜິດຊອບຄ່າໃຊ້ຈ່າຍຂອງການຂູດຮີດ."
CertiK ເຕືອນວ່າການໂຈມຕີ "ເປັນຜົນມາຈາກຂໍ້ບົກພ່ອງໃນການອອກແບບຂອງໂປໂຕຄອນແທນທີ່ຈະເປັນຂໍ້ບົກພ່ອງໃນລະຫັດສັນຍາສະຫມາດຂອງມັນ." ບໍລິສັດຄວາມປອດໄພ blockchain ເນັ້ນຫນັກຕື່ມອີກວ່າ Lodestar ເປີດຕົວໂດຍບໍ່ມີການກວດສອບ, ແລະດັ່ງນັ້ນ, ໂດຍບໍ່ມີການທົບທວນພາກສ່ວນທີສາມຂອງການອອກແບບໂປໂຕຄອນຂອງມັນ.
ທີ່ມາ: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik