Νέο Δωρεάν DAO, α αποκεντρωμένη χρηματοδότηση (DeFi) πρωτοκόλλου, αντιμετώπισε μια σειρά από επιθέσεις με αστραπιαία δάνεια την Πέμπτη, με αποτέλεσμα την αναφερόμενη απώλεια 1.25 εκατομμυρίων δολαρίων. Η τιμή του native token έχει μειωθεί κατά 99% μετά την επίθεση.
Σε αντίθεση με τα κανονικά δάνεια, πολλά πρωτόκολλα DeFi προσφέρουν δάνεια flash που επιτρέπουν στους χρήστες να δανείζονται μεγάλα ποσά περιουσιακών στοιχείων χωρίς προκαταβολικές καταθέσεις. Η μόνη προϋπόθεση είναι ότι το δάνειο πρέπει να επιστραφεί με μία μόνο συναλλαγή εντός καθορισμένης χρονικής περιόδου. Ωστόσο, αυτή η δυνατότητα χρησιμοποιείται συχνά από κακόβουλους αντιπάλους για τη συγκέντρωση μεγάλων ποσοτήτων περιουσιακών στοιχείων για την έναρξη δαπανηρών εκμεταλλεύσεων που στοχεύουν πρωτόκολλα DeFi.
Η εταιρεία ασφάλειας Blockchain CertiK ειδοποίησε την κοινότητα κρυπτογράφησης την Πέμπτη για την πτώση της τιμής κατά 99% του διακριτικού NFD λόγω επίθεσης δανείου flash. Ο εισβολέας φέρεται να ανέπτυξε μια μη επαληθευμένη σύμβαση και κάλεσε τη συνάρτηση "addMember()" για να προστεθεί ως μέλος. Ο επιτιθέμενος αργότερα εκτέλεσε τρεις επιθέσεις με δάνειο με τη βοήθεια του μη επαληθευμένου συμβολαίου.
Νέο δωρεάν Τάο – $ NFD εκμεταλλεύτηκε μέσω επίθεσης στιγμιαίας δανείου κερδίζοντας στον εισβολέα 4481 WBNB (περίπου ~1.25 εκατομμύρια $) με αποτέλεσμα η τιμή του token να πέσει κατά 99%.
Ο εισβολέας έχει συνδέσεις με την επίθεση Neorder – $N3DR από πριν από 4 μήνες, όπου πήρε 930 BNB εκείνη τη στιγμή. pic.twitter.com/5Rcht3YiIK
— Ειδοποίηση CertiK (@CertiKAlert) Σεπτέμβριος 8, 2022
Ο εισβολέας δανείστηκε αρχικά 250 Wrapped BNB (wBNB) αξίας 69,825 $ μέσω φλας δανείου και τα αντάλλαξε όλα με το εγγενές token NFD. Στη συνέχεια, το συμβόλαιο χρησιμοποιήθηκε για τη δημιουργία πολλαπλών συμβάσεων επίθεσης για τη διεκδίκηση ανταμοιβών airdrop επανειλημμένα. Στη συνέχεια, ο εισβολέας αντάλλαξε όλες τις ανταμοιβές airdrop για το wBNB κερδίζοντας 4481 BNB.
Από τα 4481 BNB, ο εισβολέας επέστρεψε το δανεικό δάνειο των 250 BNB και αντάλλαξε 2,000 BNB με 550,000 BSC-USD, το διακριτικό Binance-Peg του blockchain. Αργότερα, ο εισβολέας μετέφερε 400 BNB στη δημοφιλή υπηρεσία μίξης κερμάτων Tornado Cash.
Ο Χιου Μπρουκς, Διευθυντής Επιχειρήσεων Ασφαλείας, είπε στην Cointelegraph ότι η ευπάθεια έγκειται σε ένα μη επαληθευμένο συμβόλαιο ανταμοιβής που αναπτύχθηκε από το έργο New Free DAO. Ωστόσο, «επειδή το συμβόλαιο ανταμοιβής δεν έχει επαληθευτεί, δεν γνωρίζουμε τη βασική αιτία».
Το CertiK ενημέρωσε επίσης ότι ο χάκερ πίσω από την επίθεση δανείου flash στο NFD είχε σχέση με αυτούς που Κακοποιημένα Neorder (N3DR) τον Μάιο νωρίτερα φέτος. Αργότερα, μια άλλη εταιρεία ασφάλειας blockchain Beosin είπε στην Cointelegraph ότι οι επιτιθέμενοι πίσω από τα δύο κατορθώματα θα μπορούσαν να είναι οι ίδιοι. Ο Certik επιβεβαίωσε το ίδιο και είπε:
"Τα κλεμμένα χρήματα από την επίθεση $N3DR στάλθηκαν στον EOA 0x22C9… που είναι το ίδιο πορτοφόλι που έλαβε τα κλεμμένα χρήματα από αυτήν την επίθεση."
Το Beosin τόνισε επίσης μια άλλη ευπάθεια με το πρωτόκολλο NFD που θα μπορούσε να χρησιμοποιηθεί περαιτέρω για άλλου τύπου επίθεση δανείου flash. Η εταιρεία ασφαλείας είπε ότι η τιμή θα μπορούσε να παραποιηθεί, καθώς υπολογίζονται «χρησιμοποιώντας το υπόλοιπο USDT στο ζεύγος, επομένως μπορεί να οδηγήσει σε επίθεση δανείου σε περίπτωση εκμετάλλευσης».
3/ Αν και δεν σχετίζεται με αυτήν την επίθεση, βρίσκουμε επίσης μια άλλη ευπάθεια στο $ NFD συμβόλαιο που μπορεί να οδηγήσει σε χειραγώγηση των τιμών. pic.twitter.com/kKvx4hRdE4
— Ειδοποίηση Beosin (@BeosinAlert) Σεπτέμβριος 8, 2022
Οι επιθέσεις φλας δανείων είναι όλο και πιο δημοφιλείς μεταξύ των χάκερ λόγω του χαμηλού κινδύνου, του χαμηλού κόστους και των παραγόντων υψηλής ανταμοιβής. Την Τετάρτη, το πρωτόκολλο δανεισμού Nereus Finance με βάση το Avalanche έπεσε θύμα α πονηρή επίθεση δανείου με αποτέλεσμα απώλεια $371,000 σε USD Coin (USDC). Νωρίτερα τον Ιούνιο, η Inverse Finance έχασε 1.2 εκατομμύρια δολάρια σε μια άλλη επίθεση δανείου.
- Bitcoin
- blockchain
- συμμόρφωση με το blockchain
- blockchain συνέδριο
- coinbase
- Coingenius
- Cointelegraph
- Ομοφωνία
- crypto συνέδριο
- εξόρυξη κρυπτογράφησης
- cryptocurrency
- DAO
- Αποκεντρωμένη
- Defi
- Ψηφιακά περιουσιακά στοιχεία
- ethereum
- χάκερ
- αμυχές
- Δάνεια
- μάθηση μηχανής
- μη εύφλεκτο διακριτικό
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Πλανοσάτσας
- Πλάτωνα δεδομένα
- platogaming
- Πολύγωνο
- απόδειξη συμμετοχής
- W3
- zephyrnet