Token protokołu DeFi NFD ulega awarii o 99% po ataku pożyczki flash

Nowe darmowe DAO, a zdecentralizowane finanse (DeFi) protokół, w czwartek spotkał się z serią ataków na pożyczki błyskawiczne, co spowodowało zgłoszoną stratę w wysokości 1.25 miliona dolarów. Po ataku cena natywnego tokena spadła o 99%.

W przeciwieństwie do zwykłych pożyczek, kilka protokołów DeFi oferuje pożyczki błyskawiczne, które pozwalają użytkownikom pożyczać duże ilości aktywów bez depozytu zabezpieczającego z góry. Jedynym warunkiem jest zwrot pożyczki w jednej transakcji w określonym terminie. Jednak ta funkcja jest często wykorzystywana przez złośliwych przeciwników do gromadzenia dużych ilości zasobów w celu uruchomienia kosztownych eksploatacji wymierzonych w protokoły DeFi.

Firma CertiK zajmująca się bezpieczeństwem Blockchain powiadomiła społeczność kryptograficzną w czwartek o 99% poślizgu cen tokena NFD z powodu ataku pożyczki błyskawicznej. Atakujący podobno wdrożył niezweryfikowany kontrakt i wywołał funkcję „addMember()”, aby dodać siebie jako członka. Atakujący wykonał później trzy ataki pożyczkowe z pomocą niezweryfikowanej umowy.

Alert #CertiKSkynet

Nowe darmowe Dao – $NFD został wykorzystany poprzez atak pożyczki flash, zdobywając atakującego 4481 WBNB (około 1.25 mln USD), powodując spadek ceny tokena o 99%.

Atakujący ma powiązania z Neorderem – atakiem $N3DR sprzed 4 miesięcy, w którym przejął wówczas 930 BNB. pic.twitter.com/5Rcht3YiIK

— Alert CertiK (@CertiKAlert) 8 września 2022 r.

Atakujący najpierw pożyczył 250 Wrapped BNB (wBNB) o wartości 69,825 4481 USD za pośrednictwem pożyczki flash i zamienił je wszystkie na natywny token NFD. Umowa została następnie wykorzystana do stworzenia wielu kontraktów na ataki, aby wielokrotnie ubiegać się o nagrody za zrzuty. Atakujący następnie zamienił wszystkie nagrody za zrzut na wBNB korzystający z XNUMX BNB.

Z 4481 BNB atakujący zwrócił pożyczoną pożyczkę w wysokości 250 BNB i zamienił 2,000 BNB na 550,000 400 BSC-USD, token Binance-Peg w blockchain. Później atakujący przeniósł XNUMX BNB do popularnego serwisu miksera monet Tornado Cash.

Hugh Brooks, dyrektor ds. operacji bezpieczeństwa, powiedział Cointelegraph, że luka tkwi w niezweryfikowanym, nagradzanym kontrakcie wdrożonym przez projekt New Free DAO. Jednak „ponieważ nagradzający kontrakt jest niezweryfikowany, nie znamy pierwotnej przyczyny”.

CertiK poinformował również, że haker odpowiedzialny za atak pożyczki błyskawicznej na NFD był powiązany z tymi, którzy: eksploatowany Neorder (N3DR) w maju na początku tego roku. Później inna firma zajmująca się bezpieczeństwem blockchain, Beosin, powiedziała Cointelegraph, że osoby atakujące za obydwoma exploitami mogą być takie same. Certik potwierdził to samo i powiedział:

„Skradzione środki z ataku $N3DR zostały wysłane do EOA 0x22C9… czyli tego samego portfela, który otrzymał skradzione środki z tego ataku”.

Związane z: NIRV dla stablecoinów opartych na Solanie spada o 85% po exploitzie 3.5 miliona dolarów

Beosin zwrócił również uwagę na inną lukę w protokole NFD, która może być dalej wykorzystana do innego rodzaju ataku typu flash pożyczki. Firma ochroniarska powiedziała, że ​​ceną można manipulować, ponieważ są one obliczane „przy użyciu salda USDT w parze, więc może to prowadzić do ataku pożyczki błyskawicznej, jeśli zostanie wykorzystana”.

3/ Chociaż nie jest to związane z tym atakiem, znajdujemy również inną lukę w $NFD umowy, która może prowadzić do manipulacji ceną. pic.twitter.com/kKvx4hRdE4

— Alarm Beosin (@BeosinAlert) 8 września 2022 r.

Ataki na pożyczki błyskawiczne są coraz bardziej popularne wśród hakerów ze względu na niskie ryzyko, niskie koszty i wysokie korzyści. W środę protokół pożyczkowy oparty na lawinach Nereus Finance padł ofiarą podstępny atak pożyczki flash powodując stratę 371,000 XNUMX USD w monetach USD (USDC). Wcześniej, w czerwcu, Inverse Finance straciło 1.2 miliona dolarów w kolejnym ataku pożyczki błyskawicznej.