Yn ôl dadansoddiad post-mortem a ddarparwyd gan CertiK o ecsbloetio $5.8 miliwn Lodestar Finance a ddigwyddodd ar Ragfyr 10,
5. Llosgodd yr haciwr ychydig dros 3 miliwn mewn GLP, eu helw ar y camfanteisio hwn oedd yr arian a ddygwyd ar Lodestar - heb y GLP a losgwyd ganddynt.
6. Mae 2.8 miliwn o'r GLP yn adenilladwy, sy'n werth tua $2.4 miliwn. Rydyn ni'n mynd i estyn allan at yr haciwr a…
— Lodestar Finance (,) (@LodestarFinance) Rhagfyr 10, 2022
Mewn achos tebyg, dywedodd CertiK fod hacwyr Lodestar Finance “wedi pwmpio pris ased cyfochrog anhylif yn artiffisial y maent wedyn yn benthyca yn ei erbyn, gan adael y protocol â dyled anadferadwy.”
“Er bod rhai o’r colledion yn rhai y gellir eu hadennill, mae’r protocol yn weithredol ansolfent ar hyn o bryd, ac mae defnyddwyr yn cael eu hannog i beidio ag ad-dalu unrhyw fenthyciadau y maent wedi’u cymryd.”
Digwyddodd yr ymosodiad trwy fregusrwydd yn tocyn plvGLP y PlutusDAO ar Lodestar. Yn ôl ei ddogfennaeth, mae Lodestar “yn defnyddio porthiannau pris Chainlink diogel wedi’u gwirio ar gyfer pob ased y mae’n ei gynnig ac eithrio plvGLP.” Yn lle hynny, roedd y gyfradd gyfnewid o plvGLP i GLP yn dibynnu ar gyfanswm yr asedau wedi'u rhannu â chyfanswm y cyflenwad ar Lodestar.
Fel yr eglurwyd gan CertiK, ariannodd yr ecsbloetiwr ei waled gyntaf gyda 1,500 Ether (ETH) ar Ragfyr 8, a gymerodd wyth fflach-fenthyciad am gyfanswm o tua $70 miliwn o USD Coin (USDC), Ether wedi'i lapio (wETH), a DAI (DAI) ddau ddiwrnod yn ddiweddarach. Gyrrodd hyn y gyfradd gyfnewid o plvGLP i GLP i 1.00:1.83, a olygai fod yr ecsbloetiwr yn gallu benthyca hyd yn oed mwy o asedau o'r protocol.
Fe wnaeth y benthyciadau yfed yr holl hylifedd ar y platfform yn gyflym, gan arwain y haciwr i drosglwyddo'r arian allan o Lodestar a gadael defnyddwyr â dyledion drwg. Amcangyfrifir bod yr ecsbloetiwr wedi gwneud cyfanswm o $6.9 miliwn mewn elw trwy'r fector ymosodiad.
“Tra bod Lodestar yn estyn allan i’r ecsbloetiwr mewn ymgais i drafod byg bounty ex post facto, mae’r arian yn debygol o fod yn anadferadwy ar y cyfan. Yn absenoldeb cronfa yswiriant a all dalu am y colledion, defnyddwyr y platfform sy’n ysgwyddo cost y camfanteisio.”
Rhybuddiodd CertiK fod yr ymosodiad “yn ganlyniad i ddiffygion yng nghynllun y protocol yn hytrach na nam yn ei god contract smart.” Amlygodd y cwmni diogelwch blockchain ymhellach fod Lodestar wedi lansio heb archwiliad, ac, felly, heb adolygiad trydydd parti o'i ddyluniad protocol.
Ffynhonnell: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik