新しい無料の DAO、 分散型ファイナンス(DeFi) プロトコルは、木曜日に一連のフラッシュ ローン攻撃に直面し、1.25 万ドルの損失が報告されました。 ネイティブ トークンの価格は、攻撃を受けて 99% 下落しました。
通常のローンとは異なり、いくつかの DeFi プロトコルはフラッシュ ローンを提供しており、ユーザーは前払いの担保預金なしで大量の資産を借りることができます。 唯一の条件は、ローンが設定された期間内に単一の取引で返還されなければならないことです。 ただし、この機能は、悪意のある攻撃者によって悪用されることが多く、大量の資産を収集して、DeFi プロトコルを標的とするコストのかかるエクスプロイトを開始します。
ブロックチェーン セキュリティ会社の CertiK は木曜日、フラッシュ ローン攻撃による NFD トークンの 99% の価格下落について仮想通貨コミュニティに警告しました。 報告によると、攻撃者は未検証のコントラクトを展開し、関数「addMember()」を呼び出して自分自身をメンバーとして追加しました。 その後、攻撃者は未検証の契約を利用して XNUMX 回のフラッシュ ローン攻撃を実行しました。
ニューフリーダオ – $ NFD フラッシュローン攻撃によって悪用され、攻撃者 4481 WBNB (約 1.25 万ドル) を獲得し、トークンの価格が 99% 下落しました。
攻撃者は、3 か月前に 4 BNB を奪った Neorder – $N930DR 攻撃への接続を持っています。 pic.twitter.com/5Rcht3YiIK
— CertiKアラート(@CertiKAlert) 2022 年 9 月 8 日
攻撃者はまずフラッシュ ローンで 250 ドル相当の 69,825 ラップ BNB (wBNB) を借り、そのすべてをネイティブ トークン NFD と交換しました。 その後、コントラクトを使用して複数の攻撃コントラクトを作成し、エアドロップの報酬を繰り返し請求しました。 次に、攻撃者はすべてのエアドロップ報酬を wBNB に交換し、4481 に利益をもたらしました BNB.
攻撃者は 4481 BNB のうち、借りた 250 BNB を返し、2,000 BNB を 550,000 BSC-USD (ブロックチェーンの Binance-Peg トークン) と交換しました。 その後、攻撃者は 400 BNB を人気のコイン ミキサー サービスである Tornado Cash に移動しました。
セキュリティ オペレーション ディレクターのヒュー・ブルックス氏はコインテレグラフに対し、脆弱性は New Free DAO プロジェクトによって展開された未検証の報酬契約にあると語った。 ただし、「報酬契約は未確認のため、根本的な原因はわかりません。」
CertiK はまた、NFD に対するフラッシュ ローン攻撃の背後にいるハッカーが、 搾取 今年3月のNeorder(NXNUMXDR)。 その後、別のブロックチェーン セキュリティ会社 Beosin がコインテレグラフに、両方のエクスプロイトの背後にいる攻撃者は同じである可能性があると語った。 Certik は同じことを確認し、次のように述べています。
「$N3DR 攻撃で盗まれた資金は EOA 0x22C9 に送られました…これは、この攻撃で盗まれた資金を受け取ったのと同じウォレットです。」
関連する Solana ベースのステーブルコイン NIRV が 85 万ドルのエクスプロイトで 3.5% 下落
Beosin はまた、別のタイプのフラッシュ ローン攻撃にさらに使用される可能性がある、NFD プロトコルの別の脆弱性を強調しました。 セキュリティ会社は、「ペアのUSDTの残高を使用して計算されるため、価格が操作される可能性があるため、悪用されるとフラッシュローン攻撃につながる可能性がある」と述べました.
3/ この攻撃とは関係ありませんが、別の脆弱性も見つかりました。 $ NFD 価格操作につながる可能性のある契約。 pic.twitter.com/kKvx4hRdE4
— Beosin アラート (@BeosinAlert) 2022 年 9 月 8 日
フラッシュ ローン攻撃は、リスクが低く、コストが低く、報酬が高いため、ハッカーの間で人気が高まっています。 水曜日に、Avalanche ベースの融資プロトコル Nereus Finance が被害者になりました。 狡猾なフラッシュローン攻撃 その結果、USD コインで 371,000 ドルの損失 (USDC)。 1.2 月初旬、Inverse Finance は別のフラッシュ ローン攻撃で XNUMX 万ドルを失いました。