La compañía de seguridad Blockchain CertiK ha compartido un análisis post-mortem del exploit de Lodestar Finance de $5.8 millones que ocurrió el 10 de diciembre:
5. El pirata informático quemó un poco más de 3 millones en GLP, su ganancia en este exploit fueron los fondos robados en Lodestar, menos el GLP que quemaron.
6. 2,8 Millones del GLP son recuperables, lo que equivale a unos $2,4 millones. Nos pondremos en contacto con el hacker y…
— Finanzas Lodestar (,) (@LodestarFinance) 10 de diciembre de 2022
En un caso similar, CertiK dijo que los piratas informáticos de Lodestar Finance “inflaron artificialmente el precio de un activo colateral ilíquido contra el que luego tomaron prestado, dejando al protocolo con una deuda irrecuperable”.
“A pesar de que algunas de las pérdidas son potencialmente recuperables, el protocolo es funcionalmente insolvente en este momento, y se insta a los usuarios a no pagar los préstamos que hayan obtenido”.
El ataque ocurrió a través de una vulnerabilidad en el token plvGLP de PlutusDAO en Lodestar. Según su documentación, Lodestar “utiliza fuentes de precios verificadas y seguras de Chainlink para cada activo que ofrece, con la excepción de plvGLP”. En cambio, el tipo de cambio de plvGLP a GLP se basó en los activos totales divididos por la oferta total en Lodestar.
Como explicó CertiK, el explotador primero financió su billetera con 1,500 Ether (ETH) el 8 de diciembre y luego obtuvo ocho préstamos rápidos por un total de aproximadamente $ 70 millones en monedas USD (USDC), Ether envuelto (wETH) y Dai (DAI) dos días después. Esto llevó el tipo de cambio plvGLP/GLP a 1,00:1,83, lo que significó que el explotador pudo tomar prestados aún más activos del protocolo.
Los préstamos consumieron rápidamente toda la liquidez de la plataforma, lo que llevó al pirata informático a transferir los fondos fuera de Lodestar y dejó a los usuarios con deudas incobrables. Se estima que el explotador obtuvo un total de $ 6,9 millones en ganancias a través del vector de ataque.
“Si bien Lodestar se está acercando al explotador en un intento de negociar una recompensa por errores ex post facto, es probable que los fondos sean en su mayoría irrecuperables. En ausencia de un fondo de seguro que pueda cubrir las pérdidas, los usuarios de la plataforma asumen el costo de la explotación”.
CertiK advirtió que el ataque “es el resultado de fallas en el diseño del protocolo en lugar de un error en su código de contrato inteligente”. La firma de seguridad de blockchain destacó además que Lodestar se lanzó sin una auditoría y, por lo tanto, sin una revisión de terceros del diseño de su protocolo.