Nuovo DAO gratuito, a finanza decentralizzata (DeFi) protocollo, ha affrontato una serie di attacchi di prestito flash giovedì, con una perdita dichiarata di $ 1.25 milioni. Il prezzo del token nativo è sceso del 99% sulla scia dell'attacco.
A differenza dei normali prestiti, diversi protocolli DeFi offrono prestiti flash che consentono agli utenti di prendere in prestito grandi quantità di risorse senza depositi collaterali anticipati. L'unica condizione è che il prestito debba essere restituito in un'unica operazione entro un determinato periodo di tempo. Tuttavia, questa funzione viene spesso sfruttata da avversari malintenzionati per raccogliere grandi quantità di risorse per lanciare costosi exploit mirati ai protocolli DeFi.
Giovedì, la società di sicurezza blockchain CertiK ha avvisato la comunità crittografica dello slittamento del prezzo del 99% del token NFD a causa di un attacco di prestito flash. Secondo quanto riferito, l'attaccante ha distribuito un contratto non verificato e ha chiamato la funzione "addMember()" per aggiungersi come membro. L'attaccante ha successivamente eseguito tre attacchi di prestito lampo con l'assistenza del contratto non verificato.
Nuovo Dao gratuito – $NFD è stato sfruttato tramite un attacco di prestito flash guadagnando l'attaccante 4481 WBNB (circa ~ $ 1.25 milioni) facendo scivolare il prezzo del token del 99%.
L'attaccante ha collegamenti con Neorder: attacco $N3DR di 4 mesi fa, dove all'epoca avevano preso 930 BNB. pic.twitter.com/5Rcht3YiIK
— Avviso CertiK (@CertiKAlert) 8 settembre 2022
L'attaccante ha prima preso in prestito 250 Wrapped BNB (wBNB) per un valore di $ 69,825 tramite prestito flash e li ha scambiati tutti con il token nativo NFD. Il contratto è stato quindi utilizzato per creare più contratti di attacco per richiedere ripetutamente le ricompense di airdrop. L'attaccante ha quindi scambiato tutte le ricompense airdrop con wBNB a vantaggio di 4481 BNB.
Dei 4481 BNB, l'attaccante ha restituito il prestito preso in prestito di 250 BNB e ha scambiato 2,000 BNB con 550,000 BSC-USD, il token Binance-Peg della blockchain. Successivamente, l'attaccante ha trasferito 400 BNB al popolare servizio di gettoniera Tornado Cash.
Hugh Brooks, Direttore delle operazioni di sicurezza, ha dichiarato a Cointelegraph che la vulnerabilità risiedeva in un contratto gratificante non verificato implementato dal progetto New Free DAO. Tuttavia, "poiché il contratto gratificante non è verificato, non conosciamo la causa principale".
CertiK ha anche informato che l'hacker dietro l'attacco di prestito flash su NFD era collegato a coloro che Exploited Neorder (N3DR) a maggio all'inizio di quest'anno. Successivamente, un'altra società di sicurezza blockchain, Beosin, ha dichiarato a Cointelegraph che gli aggressori dietro entrambi gli exploit potrebbero essere gli stessi. Certik ha confermato lo stesso e ha detto:
"I fondi rubati dall'attacco $N3DR sono stati inviati a EOA 0x22C9... che è lo stesso portafoglio che ha ricevuto i fondi rubati da questo attacco."
Correlato: La stablecoin NIRV con sede a Solana scende dell'85% dopo un exploit di 3.5 milioni di dollari
Beosin ha anche evidenziato un'altra vulnerabilità con il protocollo NFD che potrebbe essere ulteriormente utilizzata per un altro tipo di attacco di prestito flash. La società di sicurezza ha affermato che il prezzo potrebbe essere manipolato poiché viene calcolato "usando il saldo di USDT nella coppia, quindi potrebbe portare a un attacco di prestito flash se sfruttato".
3/ Sebbene non sia correlato a questo attacco, troviamo anche un'altra vulnerabilità nel $NFD contratto che può portare a una manipolazione dei prezzi. pic.twitter.com/kKvx4hRdE4
— Avviso Beosina (@BeosinaAlert) 8 settembre 2022
Gli attacchi di prestito flash sono stati sempre più popolari tra gli hacker a causa dei fattori di basso rischio, basso costo e alta ricompensa. Mercoledì, il protocollo di prestito basato su Avalanche Nereus Finance è stato vittima di a astuto attacco di prestito flash con conseguente perdita di $ 371,000 in USD Coin (USDC). All'inizio di giugno, Inverse Finance ha perso 1.2 milioni di dollari in un altro attacco di prestito lampo.
- Bitcoin
- blockchain
- conformità blockchain
- conferenza blockchain
- coinbase
- geniale
- Cointelegraph
- Consenso
- conferenza crittografica
- criptazione mineraria
- criptovaluta
- DAO
- decentrata
- DeFi
- Risorse digitali
- Ethereum
- hacker
- hack
- Prestiti e finanziamenti
- machine learning
- gettone non fungibile
- Platone
- platone ai
- Platone Data Intelligence
- Platoneblockchain
- PlatoneDati
- gioco di plato
- Poligono
- prova di palo
- W3
- zefiro