O token do protocolo DeFi NFD trava 99% após um ataque de empréstimo instantâneo PlatoBlockchain Data Intelligence. Pesquisa vertical. Ai.

Token de protocolo DeFi NFD falha em 99% após um ataque de empréstimo em flash

Carimbo de data / hora: 8 de setembro de 2022 5:51

Novo DAO Gratuito, um financiamento descentralizado (DeFi) protocolo, enfrentou uma série de ataques de empréstimos relâmpago na quinta-feira, resultando em uma perda relatada de US$ 1.25 milhão. O preço do token nativo caiu 99% após o ataque.

Ao contrário dos empréstimos normais, vários protocolos DeFi oferecem empréstimos instantâneos que permitem aos usuários emprestar grandes quantidades de ativos sem depósitos colaterais iniciais. A única condição é que o empréstimo seja devolvido em uma única transação dentro de um período de tempo definido. No entanto, esse recurso é frequentemente explorado por adversários mal-intencionados para reunir grandes quantidades de ativos para lançar explorações caras direcionadas aos protocolos DeFi.

A empresa de segurança Blockchain CertiK alertou a comunidade de criptomoedas na quinta-feira sobre a queda de 99% no preço do token NFD devido a um ataque de empréstimo em flash. O invasor supostamente implantou um contrato não verificado e chamou a função “addMember()” para se adicionar como membro. Mais tarde, o atacante executou três ataques de empréstimo instantâneo com a ajuda do contrato não verificado.

O invasor primeiro emprestou 250 Wrapped BNB (wBNB) no valor de US$ 69,825 por meio de empréstimo em flash e trocou todos eles pelo NFD de token nativo. O contrato foi então usado para criar vários contratos de ataque para reivindicar recompensas de lançamento aéreo repetidamente. O atacante então trocou todas as recompensas de airdrop por wBNB beneficiando 4481 BNB.

Dos 4481 BNB, o atacante devolveu o empréstimo emprestado de 250 BNB e trocou 2,000 BNB por 550,000 BSC-USD, o token Binance-Peg do blockchain. Mais tarde, o invasor transferiu 400 BNB para o popular serviço de mixagem de moedas Tornado Cash.

imagem
Movimento de fundos da carteira do atacante NFD para o dinheiro do Tornado Fonte: BSC Scan

Hugh Brooks, diretor de operações de segurança, disse ao Cointelegraph que a vulnerabilidade estava em um contrato recompensador não verificado implantado pelo projeto New Free DAO. No entanto, “como o contrato de recompensa não foi verificado, não sabemos a causa raiz”.

A CertiK também notificou que o hacker por trás do ataque de empréstimo instantâneo ao NFD estava relacionado àqueles que exploradas Neorder (N3DR) em maio deste ano. Mais tarde, outra empresa de segurança blockchain Beosin disse ao Cointelegraph que os atacantes por trás de ambas as explorações poderiam ser os mesmos. A Certik confirmou o mesmo e disse:

“Os fundos roubados do ataque $ N3DR foram enviados para EOA 0x22C9… que é a mesma carteira que recebeu os fundos roubados deste ataque.”

Relacionado: NIRV da stablecoin baseada em Solana cai 85% após exploração de US$ 3.5 milhões

Beosin também destacou outra vulnerabilidade com o protocolo NFD que poderia ser usado para outro tipo de ataque de empréstimo flash. A empresa de segurança disse que o preço pode ser manipulado, uma vez que são calculados “usando o saldo de USDT no par, portanto, pode levar a um ataque de empréstimo instantâneo se explorado”.

Os ataques de empréstimo em flash têm sido cada vez mais populares entre os hackers devido aos fatores de baixo risco, baixo custo e alta recompensa. Na quarta-feira, o protocolo de empréstimos Nereus Finance, baseado em Avalanche, foi vítima de um ataque de empréstimo flash astuto resultando em uma perda de $ 371,000 em USD Coin (USDC). No início de junho, a Inverse Finance perdeu US$ 1.2 milhão em outro ataque de empréstimo instantâneo.

Carimbo de hora:

Mais de Cointelegraph