Novo DAO Gratuito, um financiamento descentralizado (DeFi) protocolo, enfrentou uma série de ataques de empréstimos relâmpago na quinta-feira, resultando em uma perda relatada de US$ 1.25 milhão. O preço do token nativo caiu 99% após o ataque.
Ao contrário dos empréstimos normais, vários protocolos DeFi oferecem empréstimos instantâneos que permitem aos usuários emprestar grandes quantidades de ativos sem depósitos colaterais iniciais. A única condição é que o empréstimo seja devolvido em uma única transação dentro de um período de tempo definido. No entanto, esse recurso é frequentemente explorado por adversários mal-intencionados para reunir grandes quantidades de ativos para lançar explorações caras direcionadas aos protocolos DeFi.
A empresa de segurança Blockchain CertiK alertou a comunidade de criptomoedas na quinta-feira sobre a queda de 99% no preço do token NFD devido a um ataque de empréstimo em flash. O invasor supostamente implantou um contrato não verificado e chamou a função “addMember()” para se adicionar como membro. Mais tarde, o atacante executou três ataques de empréstimo instantâneo com a ajuda do contrato não verificado.
Novo Dao Gratuito – $ NFD foi explorado por meio de ataque de empréstimo em flash, ganhando o invasor 4481 WBNB (aproximadamente ~ $ 1.25 milhão), fazendo com que o token caísse no preço em 99%.
O invasor tem conexões com Neorder – ataque $N3DR de 4 meses atrás, onde eles levaram 930 BNB na época. pic.twitter.com/5Rcht3YiIK
— Alerta CertiK (@CertiKAlert) 8 de Setembro de 2022
O invasor primeiro emprestou 250 Wrapped BNB (wBNB) no valor de US$ 69,825 por meio de empréstimo em flash e trocou todos eles pelo NFD de token nativo. O contrato foi então usado para criar vários contratos de ataque para reivindicar recompensas de lançamento aéreo repetidamente. O atacante então trocou todas as recompensas de airdrop por wBNB beneficiando 4481 BNB.
Dos 4481 BNB, o atacante devolveu o empréstimo emprestado de 250 BNB e trocou 2,000 BNB por 550,000 BSC-USD, o token Binance-Peg do blockchain. Mais tarde, o invasor transferiu 400 BNB para o popular serviço de mixagem de moedas Tornado Cash.
Hugh Brooks, diretor de operações de segurança, disse ao Cointelegraph que a vulnerabilidade estava em um contrato recompensador não verificado implantado pelo projeto New Free DAO. No entanto, “como o contrato de recompensa não foi verificado, não sabemos a causa raiz”.
A CertiK também notificou que o hacker por trás do ataque de empréstimo instantâneo ao NFD estava relacionado àqueles que exploradas Neorder (N3DR) em maio deste ano. Mais tarde, outra empresa de segurança blockchain Beosin disse ao Cointelegraph que os atacantes por trás de ambas as explorações poderiam ser os mesmos. A Certik confirmou o mesmo e disse:
“Os fundos roubados do ataque $ N3DR foram enviados para EOA 0x22C9… que é a mesma carteira que recebeu os fundos roubados deste ataque.”
Relacionado: NIRV da stablecoin baseada em Solana cai 85% após exploração de US$ 3.5 milhões
Beosin também destacou outra vulnerabilidade com o protocolo NFD que poderia ser usado para outro tipo de ataque de empréstimo flash. A empresa de segurança disse que o preço pode ser manipulado, uma vez que são calculados “usando o saldo de USDT no par, portanto, pode levar a um ataque de empréstimo instantâneo se explorado”.
3/ Embora não relacionado a este ataque, encontramos também outra vulnerabilidade no $ NFD contrato que pode levar à manipulação de preços. pic.twitter.com/kKvx4hRdE4
— Alerta Beosin (@BeosinAlert) 8 de Setembro de 2022
Os ataques de empréstimo em flash têm sido cada vez mais populares entre os hackers devido aos fatores de baixo risco, baixo custo e alta recompensa. Na quarta-feira, o protocolo de empréstimos Nereus Finance, baseado em Avalanche, foi vítima de um ataque de empréstimo flash astuto resultando em uma perda de $ 371,000 em USD Coin (USDC). No início de junho, a Inverse Finance perdeu US$ 1.2 milhão em outro ataque de empréstimo instantâneo.
- Bitcoin
- blockchain
- conformidade do blockchain
- conferência blockchain
- coinbase
- Coingenius
- Cointelegraph
- Consenso
- conferência de criptografia
- crypto mining
- criptomoedas
- DAO
- Descentralizada
- DeFi
- Ativos Digitais
- ethereum
- hackers
- hacks
- Empréstimos
- aprendizado de máquina
- token não fungível
- platão
- platão ai
- Inteligência de Dados Platão
- Platoblockchain
- PlatãoData
- jogo de platô
- Polygon
- prova de participação
- W3
- zefirnet