ເຕັກໂນໂລຊີ

ແຮກເກີໄດ້ຄັດລອກວິທີການຂອງຜູ້ໂຈມຕີ Mango Markets ເພື່ອຂຸດຄົ້ນ Lodestar: CertiK

12/12/2022
ຂ່າວ Bitcoin Ethereum

ອີງ​ຕາມ​ການ​ວິ​ເຄາະ​ຫຼັງ​ການ​ຕາຍ​ສະ​ຫນອງ​ໃຫ້​ໂດຍ CertiK ຂອງ $5.8 ລ້ານ​ການ​ຂຸດ​ຄົ້ນ​ທາງ​ການ​ເງິນ Lodestar ທີ່​ເກີດ​ຂຶ້ນ​ໃນ​ເດືອນ​ທັນ​ວາ 10​. 

ໃນຕົວຢ່າງທີ່ຄ້າຍຄືກັນ, CertiK ກ່າວວ່າພວກແຮກເກີ Lodestar Finance "ໄດ້ປອມຕົວລາຄາຂອງຊັບສິນຄ້ຳປະກັນທີ່ບໍ່ເປັນລະບຽບທີ່ເຂົາເຈົ້າກູ້ຢືມຈາກນັ້ນ, ເຊິ່ງເຮັດໃຫ້ອະນຸສັນຍາມີໜີ້ສິນທີ່ບໍ່ສາມາດກູ້ຄືນໄດ້."

"ເຖິງວ່າຈະມີບາງການສູນເສຍທີ່ອາດຈະສາມາດຟື້ນຕົວໄດ້, ໂປໂຕຄອນແມ່ນ insolent ເຮັດວຽກໃນປັດຈຸບັນ, ແລະຜູ້ໃຊ້ກໍາລັງຖືກກະຕຸ້ນບໍ່ໃຫ້ຈ່າຍຄືນເງິນກູ້ຢືມໃດໆທີ່ພວກເຂົາໄດ້ເອົາອອກ."

ການໂຈມຕີດັ່ງກ່າວເກີດຂຶ້ນຜ່ານຊ່ອງໂຫວ່ຢູ່ໃນເຄື່ອງໝາຍ plvGLP ຂອງ PlutusDAO ໃນ Lodestar. ອີງຕາມເອກະສານຂອງມັນ, Lodestar "ໃຊ້ຟີດລາຄາ Chainlink ທີ່ຖືກຢືນຢັນ, ປອດໄພສໍາລັບທຸກໆຊັບສິນທີ່ມັນສະເຫນີໃຫ້ຍົກເວັ້ນ plvGLP." ແທນທີ່ຈະ, ອັດຕາແລກປ່ຽນຂອງ plvGLP ເຖິງ GLP ແມ່ນຂຶ້ນກັບຊັບສິນທັງໝົດແບ່ງດ້ວຍການສະໜອງທັງໝົດໃນ Lodestar.

ດັ່ງທີ່ໄດ້ອະທິບາຍໂດຍ CertiK, ຜູ້ຂູດຮີດໄດ້ໃຫ້ທຶນຄັ້ງທໍາອິດກັບກະເປົາເງິນຂອງພວກເຂົາດ້ວຍ 1,500 Ether (ETH) ໃນວັນທີ 8 ທັນວາ, ຜູ້ທີ່ໄດ້ເອົາ flashloans ແປດອັນສໍາລັບມູນຄ່າປະມານ 70 ລ້ານໂດລາສະຫະລັດ (USDC), ຫໍ່ Ether (wETH), ແລະ DAI (DAI) ສອງມື້ຕໍ່ມາ. ນີ້ເຮັດໃຫ້ອັດຕາແລກປ່ຽນຂອງ plvGLP ເປັນ GLP ເປັນ 1.00: 1.83, ຊຶ່ງຫມາຍຄວາມວ່າຜູ້ຂູດຮີດສາມາດກູ້ຢືມຊັບສິນເພີ່ມເຕີມຈາກໂປໂຕຄອນ.

ເງິນກູ້ຢືມໄດ້ບໍລິໂພກສະພາບຄ່ອງທັງຫມົດຢ່າງໄວວາໃນເວທີ, ເຮັດໃຫ້ແຮກເກີໂອນເງິນອອກຈາກ Lodestar ແລະເຮັດໃຫ້ຜູ້ໃຊ້ມີຫນີ້ສິນທີ່ບໍ່ດີ. ຄາດ​ຄະ​ເນ​ວ່າ​ຜູ້​ຂູດ​ຮີດ​ໄດ້​ສ້າງ​ຜົນ​ກຳ​ໄລ​ທັງ​ໝົດ 6.9 ລ້ານ​ໂດ​ລາ​ສະຫະລັດ ຜ່ານ​ການ​ໂຈມ​ຕີ.

"ໃນຂະນະທີ່ Lodestar ກໍາລັງເອື້ອມອອກໄປຫາຜູ້ຂູດຮີດໃນຄວາມພະຍາຍາມທີ່ຈະເຈລະຈາກ່ຽວກັບ bug bounty ex post facto, ເງິນທຶນສ່ວນຫຼາຍແມ່ນບໍ່ສາມາດຟື້ນຕົວໄດ້. ໃນກໍລະນີທີ່ບໍ່ມີກອງທຶນປະກັນໄພທີ່ສາມາດກວມເອົາການສູນເສຍ, ຜູ້ໃຊ້ຂອງເວທີຮັບຜິດຊອບຄ່າໃຊ້ຈ່າຍຂອງການຂູດຮີດ."

CertiK ເຕືອນວ່າການໂຈມຕີ "ເປັນຜົນມາຈາກຂໍ້ບົກພ່ອງໃນການອອກແບບຂອງໂປໂຕຄອນແທນທີ່ຈະເປັນຂໍ້ບົກພ່ອງໃນລະຫັດສັນຍາສະຫມາດຂອງມັນ." ບໍລິສັດຄວາມປອດໄພ blockchain ເນັ້ນຫນັກຕື່ມອີກວ່າ Lodestar ເປີດຕົວໂດຍບໍ່ມີການກວດສອບ, ແລະດັ່ງນັ້ນ, ໂດຍບໍ່ມີການທົບທວນພາກສ່ວນທີສາມຂອງການອອກແບບໂປໂຕຄອນຂອງມັນ.