Token protokol DeFi NFD mogok sebesar 99% setelah serangan pinjaman kilat

DAO Gratis Baru, keuangan desentralisasi (DeFi) protokol, menghadapi serangkaian serangan pinjaman kilat pada hari Kamis, mengakibatkan kerugian yang dilaporkan sebesar $ 1.25 juta. Harga token asli telah turun 99% setelah serangan itu.

Tidak seperti pinjaman normal, beberapa protokol DeFi menawarkan pinjaman kilat yang memungkinkan pengguna meminjam aset dalam jumlah besar tanpa setoran jaminan di muka. Satu-satunya syarat adalah pinjaman harus dikembalikan dalam satu transaksi dalam jangka waktu yang ditentukan. Namun, fitur ini sering dieksploitasi oleh musuh jahat untuk mengumpulkan sejumlah besar aset untuk meluncurkan eksploitasi mahal yang menargetkan protokol DeFi.

Perusahaan keamanan Blockchain CertiK memberi tahu komunitas crypto pada hari Kamis tentang penurunan harga token NFD 99% karena serangan pinjaman kilat. Penyerang dilaporkan menggunakan kontrak yang belum diverifikasi dan memanggil fungsi "addMember()" untuk menambahkan dirinya sebagai anggota. Penyerang kemudian mengeksekusi tiga serangan pinjaman kilat dengan bantuan kontrak yang belum diverifikasi.

#CertiKSkynetAlert

Dao Gratis Baru – $NFD dieksploitasi melalui serangan pinjaman kilat yang mendapatkan penyerang 4481 WBNB (sekitar ~$1.25 juta) yang menyebabkan token turun harga 99%.

Penyerang memiliki koneksi ke Neorder – serangan $N3DR dari 4 bulan lalu di mana mereka mengambil 930 BNB pada saat itu. pic.twitter.com/5Rcht3YiIK

— Peringatan CertiK (@CertiKAlert) September 8, 2022

Penyerang pertama-tama meminjam 250 Wrapped BNB (wBNB) senilai $69,825 melalui pinjaman flash dan menukar semuanya dengan NFD token asli. Kontrak tersebut kemudian digunakan untuk membuat beberapa kontrak serangan untuk mengklaim hadiah airdrop berulang kali. Penyerang kemudian menukar semua hadiah airdrop untuk wBNB yang menguntungkan 4481 BNB.

Dari 4481 BNB, penyerang mengembalikan pinjaman 250 BNB dan menukar 2,000 BNB dengan 550,000 BSC-USD, token Binance-Peg dari blockchain. Kemudian, penyerang memindahkan 400 BNB ke layanan mixer koin populer Tornado Cash.

Hugh Brooks, Direktur Operasi Keamanan, mengatakan kepada Cointelegraph bahwa kerentanan terletak pada kontrak penghargaan yang tidak diverifikasi yang digunakan oleh proyek DAO Gratis Baru. Namun, “karena kontrak penghargaan belum diverifikasi, kami tidak tahu akar masalahnya.”

CertiK juga memberi tahu bahwa peretas di balik serangan pinjaman kilat pada NFD terkait dengan mereka yang dieksploitasi Neorder (N3DR) pada Mei awal tahun ini. Kemudian, perusahaan keamanan blockchain lain, Beosin, mengatakan kepada Cointelegraph bahwa penyerang di balik kedua eksploitasi itu bisa jadi sama. Certik mengkonfirmasi hal yang sama dan berkata:

“Dana yang dicuri dari serangan $N3DR dikirim ke EOA 0x22C9… yang merupakan dompet yang sama yang menerima dana curian dari serangan ini.”

Terkait: Stablecoin NIRV berbasis Solana turun 85% setelah eksploitasi $3.5 juta

Beosin juga menyoroti kerentanan lain dengan protokol NFD yang dapat digunakan lebih lanjut untuk jenis serangan pinjaman kilat lainnya. Perusahaan keamanan mengatakan bahwa harga dapat dimanipulasi karena dihitung "menggunakan saldo USDT dalam pasangan, sehingga dapat menyebabkan serangan pinjaman kilat jika dieksploitasi."

3/ Meskipun tidak terkait dengan serangan ini, kami juga menemukan kerentanan lain di $NFD kontrak yang dapat menyebabkan manipulasi harga. pic.twitter.com/kKvx4hRdE4

— Peringatan Beosin (@BeosinAlert) September 8, 2022

Serangan pinjaman kilat semakin populer di kalangan peretas karena faktor risiko rendah, biaya rendah, dan imbalan tinggi. Pada hari Rabu, protokol pinjaman berbasis Longsor Nereus Finance menjadi korban a serangan pinjaman kilat licik mengakibatkan kerugian $371,000 dalam USD Coin (USDC). Sebelumnya pada bulan Juni, Inverse Finance kehilangan $1.2 juta dalam serangan pinjaman kilat lainnya.