DAO חדש בחינם, א מימון מבוזר (DeFi) פרוטוקול, התמודד ביום חמישי עם סדרה של התקפות הלוואות בזק, שהביאו להפסד מדווח של 1.25 מיליון דולר. מחירו של האסימון המקורי ירד ב-99% בעקבות המתקפה.
בניגוד להלוואות רגילות, מספר פרוטוקולים של DeFi מציעים הלוואות בזק המאפשרות למשתמשים ללוות כמויות גדולות של נכסים ללא הפקדות בטחונות מראש. התנאי היחיד הוא שיש להחזיר את ההלוואה בעסקה אחת תוך פרק זמן מוגדר. עם זאת, תכונה זו מנוצלת לעתים קרובות על ידי יריבים זדוניים כדי לאסוף כמויות גדולות של נכסים כדי להפעיל ניצול יקר המכוון לפרוטוקולי DeFi.
חברת האבטחה בלוקצ'יין CertiK התריעה ביום חמישי בפני קהילת הקריפטו על החלקת המחיר של 99% של אסימון ה-NFD עקב מתקפת הלוואות בזק. לפי הדיווח, התוקף פרס חוזה לא מאומת וקרא לפונקציה "addMember()" כדי להוסיף את עצמו כחבר. מאוחר יותר התוקף ביצע שלוש התקפות הלוואות בזק בסיוע החוזה הלא מאומת.
דאו חדש בחינם - $NFD נוצל באמצעות התקפת הלוואת פלאש והשיגה את התוקף 4481 WBNB (כ-$1.25M) מה שגרם לאסימון להחליק במחיר של 99%.
לתוקף יש קשרים ל-Neorder - התקפה של $N3DR מלפני 4 חודשים שבה הם לקחו 930 BNB באותה עת. pic.twitter.com/5Rcht3YiIK
— CertiKAlert (@CertiKAlert) ספטמבר 8, 2022
התוקף שאל תחילה 250 Wrapped BNB (wBNB) בשווי 69,825 דולר באמצעות הלוואת פלאש והחליף את כולם עבור האסימון המקורי NFD. לאחר מכן, החוזה שימש ליצירת חוזי תקיפה מרובים כדי לתבוע תגמולים חוזרים ונשנים. לאחר מכן התוקף החליף את כל התגמולים להורדת אוויר ל-wBNB לטובת 4481 BNB.
מתוך 4481 BNB, התוקף החזיר את ההלוואה המושאלת בסך 250 BNB והחליף 2,000 BNB ב-550,000 BSC-USD, האסימון Binance-Peg של הבלוקצ'יין. מאוחר יותר, התוקף העביר 400 BNB לשירות מערבל המטבעות הפופולרי Tornado Cash.
יו ברוקס, מנהל פעולות אבטחה, אמר ל-Cointelegraph כי הפגיעות טמונה בחוזה מתגמל לא מאומת שנפרס על ידי פרויקט New Free DAO. עם זאת, "מכיוון שהחוזה המתגמל אינו מאומת, איננו יודעים את סיבת השורש."
CertiK גם הודיעה שההאקר מאחורי מתקפת הלוואת הבזק על NFD קשור לאלה ומנוצל Neorder (N3DR) במאי מוקדם יותר השנה. מאוחר יותר, חברת אבטחת בלוקצ'יין אחרת Beosin אמרה ל-Cointelegraph כי התוקפים מאחורי שני המעללים יכולים להיות זהים. סרטיק אישרה את אותו הדבר ואמר:
"הכספים הגנובים מהתקפת $N3DR נשלחו ל-EOA 0x22C9... שהוא אותו ארנק שקיבל את הכספים הגנובים מהתקיפה הזו."
מידע נוסף: Stablecoin NIRV מבוסס Solana יורד ב-85% בעקבות ניצול של 3.5 מיליון דולר
Beosin הדגיש גם פגיעות נוספת עם פרוטוקול NFD שיכול לשמש עוד יותר עבור סוג אחר של התקפת הלוואות פלאש. חברת האבטחה אמרה כי ניתן לתמרן את המחיר מכיוון שהם מחושבים "באמצעות יתרת USDT בצמד, כך שזה עלול להוביל להתקפת הלוואות בזק אם ינוצל".
3/ למרות שלא קשור להתקפה זו, אנו מוצאים גם פגיעות נוספת ב- $NFD חוזה שעלול להוביל למניפולציה במחיר. pic.twitter.com/kKvx4hRdE4
— Beosin Alert (@BeosinAlert) ספטמבר 8, 2022
התקפות הלוואות פלאש הפכו פופולריות יותר ויותר בקרב האקרים בשל הסיכון הנמוך, העלות הנמוכה וגורמי התגמול הגבוהים. ביום רביעי, פרוטוקול ההלוואות מבוסס Avalanche, Nereus Finance הפך לקורבן של א התקפת הלוואת פלאש ערמומית וכתוצאה מכך הפסד של $371,000 במטבע דולר (דולר ארה"ב). מוקדם יותר ביוני, Inverse Finance הפסידה 1.2 מיליון דולר במתקפת הלוואות בזק נוסף.
