ဒီဇင်ဘာလ 5.8 ရက်နေ့တွင်ဖြစ်ပွားခဲ့သော $10 သန်း Lodestar Finance အမြတ်ထုတ်မှုမှ CertiK မှပေးဆောင်သောခွဲခြမ်းစိတ်ဖြာမှုအရ၊
5. ဟက်ကာသည် GLP တွင် 3 သန်းကျော်ကို မီးရှို့ခဲ့ပြီး၊ ဤအမြတ်ထုတ်မှုအတွက် ၎င်းတို့၏ အမြတ်မှာ Lodestar တွင် ခိုးယူထားသော ရန်ပုံငွေများဖြစ်ပြီး ၎င်းတို့ မီးရှို့ခဲ့သော GLP ကို အနုတ်လက္ခဏာဆောင်သည်။
6. GLP ၏ 2.8 သန်းကို ပြန်လည်ရရှိနိုင်ပြီး ဒေါ်လာ 2.4 သန်းခန့်တန်ဖိုးရှိသည်။ ကျွန်ုပ်တို့သည် ဟက်ကာထံသို့ ဆက်သွယ်၍ ...
— Lodestar ဘဏ္ဍာရေး (၊) (@LodestarFinance) ဒီဇင်ဘာလတွင် 10, 2022
အလားတူ ဥပမာတွင်၊ Lodestar Finance ဟက်ကာများသည် "ထို့နောက် ၎င်းတို့ထံမှချေးယူထားသော ပိုင်ဆိုင်မှုအပေါင်ပစ္စည်း၏စျေးနှုန်းကို အတုယူ၍ ထုတ်ယူ၍ မရနိုင်သော အကြွေးများဖြင့် ပရိုတိုကောကို ချန်ထားခဲ့သည်" ဟု CertiK မှ ပြောကြားခဲ့သည်။
"ဆုံးရှုံးမှုအချို့ကို ပြန်လည်ရရှိနိုင်သော်လည်း၊ ပရိုတိုကောသည် ယခုအချိန်တွင် ပျက်ပြယ်သွားကာ အသုံးပြုသူများအား ၎င်းတို့ထုတ်ထားသောချေးငွေများကို ပြန်မဆပ်ရန် တိုက်တွန်းထားသည်။"
Lodestar ရှိ PlutusDAO ၏ plvGLP တိုကင်တွင် အားနည်းချက်တစ်ခုကြောင့် တိုက်ခိုက်မှုဖြစ်ပွားခဲ့သည်။ ၎င်း၏စာရွက်စာတမ်းအရ Lodestar သည် "plvGLP မှလွဲ၍ ၎င်းကမ်းလှမ်းသည့်ပိုင်ဆိုင်မှုတိုင်းအတွက် အတည်ပြုပြီး လုံခြုံသော Chainlink စျေးနှုန်း feeds များကို အသုံးပြုပါသည်။" ယင်းအစား၊ plvGLP သို့ GLP ၏ ငွေလဲနှုန်းသည် Lodestar တွင် စုစုပေါင်းထောက်ပံ့မှုဖြင့် ပိုင်းခြားထားသော စုစုပေါင်းပိုင်ဆိုင်မှုများအပေါ်တွင် မူတည်ပါသည်။
CertiK မှ ရှင်းပြထားသည့်အတိုင်း အမြတ်ထုတ်သူသည် ဒီဇင်ဘာ ၈ ရက်နေ့တွင် ၎င်းတို့၏ ပိုက်ဆံအိတ်ကို 1,500 Ether (ETH) ဖြင့် ပထမဦးစွာ ထောက်ပံ့ခဲ့ပြီး၊ ထို့နောက် စုစုပေါင်း အမေရိကန်ဒေါ်လာ သန်း 8 ခန့်တန်ဖိုးရှိသော USD Coin (USDC)၊ Ether (wETH) နှင့် ထုပ်ပိုးထားသော flashloans ရှစ်ခုကို ထုတ်ယူသွားခဲ့သည်။ DAI (DAI) နှစ်ရက်အကြာ။ ၎င်းသည် plvGLP ၏ ငွေလဲနှုန်းကို GLP သို့ 70:1.00 သို့ တွန်းပို့ခဲ့ပြီး၊ ဆိုလိုသည်မှာ အမြတ်ထုတ်သူသည် ပရိုတိုကောမှ ပိုင်ဆိုင်မှုများကို ပိုမိုချေးယူနိုင်သည်ဟု ဆိုလိုသည်။
ချေးငွေများသည် ပလက်ဖောင်းပေါ်ရှိ ငွေဖြစ်လွယ်မှုအားလုံးကို လျင်မြန်စွာ သုံးစွဲခဲ့ပြီး ဟက်ကာသည် ရန်ပုံငွေများကို Lodestar မှ လွှဲပေးကာ သုံးစွဲသူများကို အကြွေးမကျေစေခဲ့သည်။ အသုံးချသူသည် တိုက်ခိုက်မှု vector မှတဆင့် စုစုပေါင်း အမြတ်ငွေ ဒေါ်လာ 6.9 သန်း ရရှိခဲ့သည်ဟု ခန့်မှန်းရသည်။
"Lodestar သည် bug bounty ex post facto ကိုညှိနှိုင်းရန်ကြိုးပမ်းမှုတွင်အမြတ်ထုတ်သူထံဆက်သွယ်နေသော်လည်း၊ ရန်ပုံငွေများသည်အများစုမှာပြန်လည်မရနိုင်ပါ။ ဆုံးရှုံးမှုများကို ကာမိနိုင်သည့် အာမခံရန်ပုံငွေမရှိလျှင်၊ ပလပ်ဖောင်းအသုံးပြုသူများသည် အမြတ်ထုတ်ခြင်း၏ကုန်ကျစရိတ်ကို ခံကြရသည်။"
CertiK က "တိုက်ခိုက်မှုသည် ၎င်း၏စမတ်စာချုပ်ကုဒ်တွင် ချို့ယွင်းချက်များထက် ပရိုတိုကော၏ ဒီဇိုင်းတွင် ချို့ယွင်းချက်များ၏ ရလဒ်ဖြစ်သည်" ဟု သတိပေးခဲ့သည်။ blockchain လုံခြုံရေးကုမ္ပဏီသည် Lodestar ကိုစာရင်းစစ်မပါဘဲစတင်ခဲ့ကြောင်းနှင့်၎င်း၏ပရိုတိုကောဒီဇိုင်းကိုပြင်ပမှပြန်လည်သုံးသပ်ခြင်းမရှိဘဲ၎င်းကိုထပ်မံမီးမောင်းထိုးပြခဲ့သည်။
အရင်းအမြစ်: https://cointelegraph.com/news/hackers-copied-mango-markets-attacker-s-methods-to-exploit-lodestar-certik