Ny gratis DAO, en desentralisert finans (DeFi) protokollen, møtte en serie flashlånsangrep torsdag, noe som resulterte i et rapportert tap på 1.25 millioner dollar. Prisen på det opprinnelige tokenet har falt med 99 % i kjølvannet av angrepet.
I motsetning til vanlige lån, tilbyr flere DeFi-protokoller flash-lån som lar brukere låne store mengder eiendeler uten forhåndsinnskudd. Den eneste betingelsen er at lånet må returneres i en enkelt transaksjon innen en fastsatt tidsperiode. Imidlertid blir denne funksjonen ofte utnyttet av ondsinnede motstandere for å samle store mengder eiendeler for å starte kostbare utnyttelser rettet mot DeFi-protokoller.
Blockchain-sikkerhetsfirmaet CertiK varslet kryptosamfunnet torsdag om 99% prisglidning på NFD-tokenet på grunn av et flashlånsangrep. Angriperen skal ha distribuert en ubekreftet kontrakt og kalt funksjonen "addMember()" for å legge seg til som medlem. Angriperen utførte senere tre flashlånsangrep ved hjelp av den ubekreftede kontrakten.
Ny gratis Dao – $ NFD ble utnyttet via flash-lånsangrep og fikk angriperen 4481 WBNB (ca. ~$1.25M), noe som fikk tokenet til å gli i pris 99%.
Angriperen har forbindelser til Neorder – $N3DR-angrep fra 4 måneder siden hvor de tok 930 BNB på den tiden. pic.twitter.com/5Rcht3YiIK
— CertiKAlert (@CertiKAlert) September 8, 2022
Angriperen lånte først 250 Wrapped BNB (wBNB) verdt $69,825 4481 via flash-lån og byttet dem alle mot den opprinnelige token NFD. Kontrakten ble deretter brukt til å opprette flere angrepskontrakter for å kreve airdrop-belønninger gjentatte ganger. Angriperen byttet deretter alle airdrop-belønningene for wBNB til fordel for XNUMX BNB.
Av 4481 BNB returnerte angriperen det lånte lånet på 250 BNB og byttet 2,000 BNB for 550,000 400 BSC-USD, Binance-Peg-tokenet til blokkjeden. Senere flyttet angriperen XNUMX BNB til den populære myntmiksertjenesten Tornado Cash.
Hugh Brooks, direktør for sikkerhetsoperasjoner, fortalte Cointelegraph at sårbarheten lå i en ubekreftet belønningskontrakt utplassert av New Free DAO-prosjektet. Imidlertid, "fordi den givende kontrakten er ubekreftet, vet vi ikke årsaken."
CertiK varslet også at hackeren bak flashlånsangrepet på NFD var relatert til de som Exploited Neorder (N3DR) i mai tidligere i år. Senere fortalte et annet blokkjede-sikkerhetsfirma Beosin til Cointelegraph at angriperne bak begge utnyttelsene kan være de samme. Certik bekreftet det samme og sa:
"De stjålne midlene fra $N3DR-angrepet ble sendt til EOA 0x22C9 ... som er den samme lommeboken som mottok de stjålne midlene fra dette angrepet."
Relatert: Solana-basert stablecoin NIRV faller 85 % etter utnyttelse av $3.5 millioner
Beosin fremhevet også en annen sårbarhet med NFD-protokollen som kan brukes videre til en annen type flashlånsangrep. Sikkerhetsfirmaet sa at prisen kan bli manipulert siden de beregnes "ved å bruke balansen av USDT i paret, så det kan føre til flashlånsangrep hvis de utnyttes."
3/ Selv om det ikke er relatert til dette angrepet, finner vi også en annen sårbarhet i $ NFD kontrakt som kan føre til prismanipulasjon. pic.twitter.com/kKvx4hRdE4
— Beosin Alert (@BeosinAlert) September 8, 2022
Flash-lånsangrep har blitt stadig mer populært blant hackere på grunn av lav risiko, lave kostnader og høye belønningsfaktorer. Onsdag ble Avalanche-baserte utlånsprotokoll Nereus Finance et offer for en utspekulert flash lån angrep resulterer i et tap på $371,000 XNUMX i USD Coin (USDC). Tidligere i juni tapte Inverse Finance 1.2 millioner dollar i et nytt flashlånsangrep.
- Bitcoin
- blockchain
- blockchain-overholdelse
- blockchain konferanse
- coinbase
- coingenius
- Cointelegraph
- Konsensus
- kryptokonferanse
- krypto gruvedrift
- cryptocurrency
- DAO
- desentralisert
- Defi
- Digitale eiendeler
- ethereum
- hackere
- hacks
- Lån
- maskinlæring
- ikke soppbart token
- plato
- plato ai
- Platon Data Intelligence
- Platoblokkjede
- PlatonData
- platogaming
- polygon
- bevis på innsatsen
- W3
- zephyrnet
