Il token del protocollo DeFi NFD si blocca del 99% dopo un attacco con prestito flash su PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.

Il token del protocollo DeFi NFD si arresta in modo anomalo del 99% dopo un attacco di prestito flash

Timestamp: 8 settembre 2022 5:51

Nuovo DAO gratuito, a finanza decentralizzata (DeFi) protocollo, ha affrontato una serie di attacchi di prestito flash giovedì, con una perdita dichiarata di $ 1.25 milioni. Il prezzo del token nativo è sceso del 99% sulla scia dell'attacco.

A differenza dei normali prestiti, diversi protocolli DeFi offrono prestiti flash che consentono agli utenti di prendere in prestito grandi quantità di risorse senza depositi collaterali anticipati. L'unica condizione è che il prestito debba essere restituito in un'unica operazione entro un determinato periodo di tempo. Tuttavia, questa funzione viene spesso sfruttata da avversari malintenzionati per raccogliere grandi quantità di risorse per lanciare costosi exploit mirati ai protocolli DeFi.

Giovedì, la società di sicurezza blockchain CertiK ha avvisato la comunità crittografica dello slittamento del prezzo del 99% del token NFD a causa di un attacco di prestito flash. Secondo quanto riferito, l'attaccante ha distribuito un contratto non verificato e ha chiamato la funzione "addMember()" per aggiungersi come membro. L'attaccante ha successivamente eseguito tre attacchi di prestito lampo con l'assistenza del contratto non verificato.

L'attaccante ha prima preso in prestito 250 Wrapped BNB (wBNB) per un valore di $ 69,825 tramite prestito flash e li ha scambiati tutti con il token nativo NFD. Il contratto è stato quindi utilizzato per creare più contratti di attacco per richiedere ripetutamente le ricompense di airdrop. L'attaccante ha quindi scambiato tutte le ricompense airdrop con wBNB a vantaggio di 4481 BNB.

Dei 4481 BNB, l'attaccante ha restituito il prestito preso in prestito di 250 BNB e ha scambiato 2,000 BNB con 550,000 BSC-USD, il token Binance-Peg della blockchain. Successivamente, l'attaccante ha trasferito 400 BNB al popolare servizio di gettoniera Tornado Cash.

Immagine
Movimento del fondo dal portafoglio dell'attaccante NFD al denaro Tornado Fonte: Scansione BSC

Hugh Brooks, Direttore delle operazioni di sicurezza, ha dichiarato a Cointelegraph che la vulnerabilità risiedeva in un contratto gratificante non verificato implementato dal progetto New Free DAO. Tuttavia, "poiché il contratto gratificante non è verificato, non conosciamo la causa principale".

CertiK ha anche informato che l'hacker dietro l'attacco di prestito flash su NFD era collegato a coloro che Exploited Neorder (N3DR) a maggio all'inizio di quest'anno. Successivamente, un'altra società di sicurezza blockchain, Beosin, ha dichiarato a Cointelegraph che gli aggressori dietro entrambi gli exploit potrebbero essere gli stessi. Certik ha confermato lo stesso e ha detto:

"I fondi rubati dall'attacco $N3DR sono stati inviati a EOA 0x22C9... che è lo stesso portafoglio che ha ricevuto i fondi rubati da questo attacco."

Correlato: La stablecoin NIRV con sede a Solana scende dell'85% dopo un exploit di 3.5 milioni di dollari

Beosin ha anche evidenziato un'altra vulnerabilità con il protocollo NFD che potrebbe essere ulteriormente utilizzata per un altro tipo di attacco di prestito flash. La società di sicurezza ha affermato che il prezzo potrebbe essere manipolato poiché viene calcolato "usando il saldo di USDT nella coppia, quindi potrebbe portare a un attacco di prestito flash se sfruttato".

Gli attacchi di prestito flash sono stati sempre più popolari tra gli hacker a causa dei fattori di basso rischio, basso costo e alta ricompensa. Mercoledì, il protocollo di prestito basato su Avalanche Nereus Finance è stato vittima di a astuto attacco di prestito flash con conseguente perdita di $ 371,000 in USD Coin (USDC). All'inizio di giugno, Inverse Finance ha perso 1.2 milioni di dollari in un altro attacco di prestito lampo.

Timestamp:

Di più da Cointelegraph