Kẻ tấn công đã kiếm được gần 6.9 triệu USD lợi nhuận và để lại cho người dùng một đống nợ xấu.
Theo một phân tích sau khi khám nghiệm tử thi do CertiK cung cấp về việc khai thác Lodestar Finance trị giá 5.8 triệu USD xảy ra vào ngày 10 tháng 12.
Trong một trường hợp tương tự, CertiK nói rằng các tin tặc của Lodestar Finance đã "bơm giả tạo giá của một tài sản thế chấp kém thanh khoản mà sau đó họ vay vào, để lại giao thức với khoản nợ không thể cứu vãn."
"Mặc dù một số tổn thất có khả năng có thể phục hồi, giao thức hiện đang mất khả năng thanh toán và người dùng đang được khuyến khích không trả bất kỳ khoản vay nào họ đã vay."
Cuộc tấn công xảy ra thông qua một lỗ hổng trong mã thông báo plvGLP của PlutusDAO trên Lodestar. Theo tài liệu của mình, Lodestar "sử dụng nguồn cấp dữ liệu giá Chainlink đã được xác minh, an toàn cho mọi tài sản mà nó cung cấp ngoại trừ plvGLP." Thay vào đó, tỷ giá hối đoái của plvGLP đến GLP dựa vào tổng tài sản chia cho tổng nguồn cung trên Lodestar.
Theo giải thích của CertiK, kẻ khai thác lần đầu tiên tài trợ cho ví của họ bằng 1,500 Ether (ETH) vào ngày 8 tháng 12, người sau đó đã lấy ra tám flashloans với tổng giá trị khoảng 70 triệu đô USD Coin (USDC), Ether bọc (wETH) và DAI (DAI) hai ngày sau đó. Điều này đã thúc đẩy tỷ giá hối đoái của plvGLP đến GLP đến 1,00: 1,83, có nghĩa là người khai thác có thể vay nhiều tài sản hơn nữa từ giao thức.
Các khoản vay nhanh chóng tiêu thụ hết thanh khoản trên nền tảng, khiến hacker chuyển tiền ra khỏi Lodestar và khiến người dùng mắc nợ xấu. Người ta ước tính rằng kẻ khai thác đã kiếm được tổng cộng 6.9 triệu đô la lợi nhuận thông qua vectơ tấn công.
"Trong khi Lodestar đang liên hệ với kẻ khai thác trong nỗ lực đàm phán về một tiền thưởng lỗi ex post facto, các khoản tiền có thể hầu như không thể thu hồi được. Trong trường hợp không có quỹ bảo hiểm có thể bù đắp tổn thất, người dùng nền tảng phải chịu chi phí khai thác".
CertiK cảnh báo rằng cuộc tấn công "là kết quả của những sai sót trong thiết kế của giao thức chứ không phải là một lỗi trong mã hợp đồng thông minh của nó". Công ty bảo mật blockchain nhấn mạnh thêm rằng Lodestar đã ra mắt mà không cần kiểm toán và do đó, không có đánh giá của bên thứ ba về thiết kế giao thức của nó.