El atacante obtuvo cerca de USD 6.9 millones en ganancias y dejó a los usuarios con una gran cantidad de deudas incobrables.
De acuerdo con un análisis post-mortem proporcionado por CertiK del exploit de USD 5.8 millones de Lodestar Finance que ocurrió el 10 de diciembre.
5. El hacker quemó un poco más de 3 millones en GLP, su ganancia en este exploit fueron los fondos robados en Lodestar, menos el GLP que quemaron.
6. 2.8 Millones del GLP son recuperables, lo que equivale a unos USD 2.4 millones. Nos pondremos en contacto con el hacker y…
En un caso similar, CertiK dijo que los hackers de Lodestar Finance “inflaron artificialmente el precio de un activo colateral ilíquido contra el que luego tomaron prestado, dejando al protocolo con una deuda irrecuperable”.
“A pesar de que algunas de las pérdidas son potencialmente recuperables, el protocolo es funcionalmente insolvente en este momento, y se insta a los usuarios a no pagar los préstamos que hayan obtenido”.
El ataque se produjo a través de una vulnerabilidad en el token plvGLP de PlutusDAO en Lodestar. Según su documentación, Lodestar “utiliza fuentes de precios verificadas y seguras de Chainlink para todos los activos que ofrece, con la excepción de plvGLP”. En cambio, el tipo de cambio de plvGLP a GLP se basó en el total de activos dividido por la oferta total en Lodestar.
Según explicó CertiK, el explotador primero financió su billetera con 1,500 Ether (ETH) el 8 de diciembre, y luego sacó ocho préstamos flash por un total de aproximadamente USD 70 millones en USD Coin (USDC), wrapped Ether (wETH) y DAI (DAI) dos días después. Esto llevó el tipo de cambio de plvGLP a GLP a 1.00:1.83, lo que significó que el explotador pudo tomar prestados aún más activos del protocolo.
Los préstamos consumieron rápidamente toda la liquidez de la plataforma, lo que llevó al hacker a transferir los fondos fuera de Lodestar y dejar a los usuarios con una deuda incobrable. Se estima que el explotador obtuvo un total de USD 6.9 millones en beneficios a través del vector de ataque.
“Si bien Lodestar se está acercando al explotador en un intento de negociar una recompensa por errores ex post facto, es probable que los fondos sean en su mayoría irrecuperables. En ausencia de un fondo de seguro que pueda cubrir las pérdidas, los usuarios de la plataforma asumen el costo de la hazaña”.
CertiK advirtió que el ataque “es el resultado de fallas en el diseño del protocolo en lugar de un error en su código de contrato inteligente”. La firma de seguridad de blockchain destacó además que Lodestar se lanzó sin una auditoría y, por lo tanto, sin una revisión de terceros del diseño de su protocolo.