Công ty bảo mật blockchain CertiK đã chia sẻ một phân tích hậu kỳ về vụ hack của Lodestar Finance trị giá 5,8 triệu đô la xảy ra vào ngày 10/12.
CertiK cho biết hacker trong vụ Lodestar Finance “đã bơm giá đểu của một tài sản thế chấp kém thanh khoản mà sau đó chúng sẽ vay, để lại giao thức với khoản nợ không thể thu hồi.”
“Mặc dù một số khoản lỗ có khả năng phục hồi được, nhưng giao thức hiện đang mất khả năng thanh toán và người dùng được khuyến khích không trả bất kỳ khoản vay nào mà họ đã vay.”
Cuộc tấn công xảy ra thông qua một lỗ hổng trong token plvGLP của PlutusDAO trên Lodestar. Theo tài liệu của mình, Lodestar “sử dụng nguồn cấp dữ liệu giá Chainlink an toàn, đã được xác minh cho mọi tài sản mà nó cung cấp ngoại trừ plvGLP.” Thay vào đó, tỷ giá hối đoái của plvGLP sang GLP dựa trên tổng tài sản chia cho tổng nguồn cung trên Lodestar.
Theo giải thích của CertiK, lần đầu tiên kẻ khai thác nạp tiền vào ví của chúng là bằng 1.500 ETH vào ngày 8/12 và sau đó thực hiện 8 khoản vay chớp nhoáng với tổng số USDC trị giá khoảng 70 triệu đô la. Điều này đã đẩy tỷ giá hối đoái plvGLP/GLP lên 1,00:1,83, điều đó có nghĩa là kẻ khai thác có thể vay nhiều tài sản hơn nữa từ giao thức.
Các khoản vay nhanh chóng tiêu tốn tất cả thanh khoản trên nền tảng, khiến hacker chuyển tiền ra khỏi Lodestar và để lại cho người dùng một khoản nợ xấu. Người ta ước tính rằng kẻ tấn công này đã kiếm được tổng cộng 6,9 triệu đô la lợi nhuận.