Ny gratis DAO, en decentraliserad ekonomi (DeFi) protokollet, utsattes för en serie snabblånsattacker på torsdagen, vilket resulterade i en rapporterad förlust på 1.25 miljoner dollar. Priset på den infödda token har sjunkit med 99% i spåren av attacken.
Till skillnad från vanliga lån erbjuder flera DeFi-protokoll snabblån som tillåter användare att låna stora mängder tillgångar utan förskottsinsättningar. Det enda villkoret är att lånet måste återlämnas i en enda transaktion inom en bestämd tidsperiod. Den här funktionen utnyttjas dock ofta av illvilliga motståndare för att samla in stora mängder tillgångar för att starta kostsamma exploateringar riktade mot DeFi-protokoll.
Blockchain-säkerhetsföretaget CertiK varnade kryptocommunityt på torsdagen om 99% prisglidning av NFD-token på grund av en flashlånsattack. Angriparen ska ha distribuerat ett overifierat kontrakt och kallade funktionen "addMember()" för att lägga till sig själv som medlem. Angriparen utförde senare tre snabblånsattacker med hjälp av det overifierade kontraktet.
Ny gratis Dao – $ NFD utnyttjades via flashlånsattack och fick angriparen 4481 WBNB (cirka ~$1.25 miljoner) vilket fick token att halka i pris med 99%.
Angriparen har kopplingar till Neorder – $N3DR-attack från 4 månader sedan där de tog 930 BNB vid den tiden. pic.twitter.com/5Rcht3YiIK
— CertiKAlert (@CertiKAlert) September 8, 2022
Angriparen lånade först 250 Wrapped BNB (wBNB) värda $69,825 4481 via flashlån och bytte ut dem alla mot den ursprungliga token NFD. Kontraktet användes sedan för att skapa flera attackkontrakt för att kräva airdrop-belöningar upprepade gånger. Angriparen bytte sedan alla airdrop-belöningar mot wBNB till förmån för XNUMX BNB.
Av 4481 BNB returnerade angriparen det lånade lånet på 250 BNB och bytte 2,000 550,000 BNB mot 400 XNUMX BSC-USD, Binance-Peg-tokenet för blockkedjan. Senare flyttade angriparen XNUMX BNB till den populära myntmixartjänsten Tornado Cash.
Hugh Brooks, chef för säkerhetsoperationer, sa till Cointelegraph att sårbarheten låg i ett overifierat givande kontrakt som implementerats av New Free DAO-projektet. Men "eftersom det givande kontraktet är overifierat, vet vi inte grundorsaken."
CertiK meddelade också att hackaren bakom flashlånsattacken på NFD var relaterad till de som utnyttjas Neorder (N3DR) i maj tidigare i år. Senare berättade ett annat blockkedjesäkerhetsföretag Beosin till Cointelegraph att angriparna bakom båda utnyttjandena kan vara desamma. Certik bekräftade detsamma och sa:
"De stulna medlen från $N3DR-attacken skickades till EOA 0x22C9... vilket är samma plånbok som tog emot de stulna medlen från denna attack."
Relaterat: Solana-baserade stablecoin NIRV sjunker 85% efter $3.5 miljoner exploatering
Beosin lyfte också fram en annan sårbarhet med NFD-protokollet som kan användas ytterligare för en annan typ av flashlånsattack. Säkerhetsföretaget sa att priset kan manipuleras eftersom de beräknas "med hjälp av saldot av USDT i paret, så det kan leda till flashlånsattack om det utnyttjas."
3/ Även om det inte är relaterat till denna attack, hittar vi också en annan sårbarhet i $ NFD kontrakt som kan leda till prismanipulation. pic.twitter.com/kKvx4hRdE4
— Beosin Alert (@BeosinAlert) September 8, 2022
Flashlånsattacker har blivit allt populärare bland hackare på grund av låg risk, låg kostnad och höga belöningsfaktorer. På onsdagen blev det lavinbaserade låneprotokollet Nereus Finance ett offer för en listig blixtlånsattack resulterar i en förlust på $371,000 XNUMX i USD Coin (USDC). Tidigare i juni förlorade Inverse Finance 1.2 miljoner dollar i en annan flashlånsattack.
- Bitcoin
- blockchain
- blockchain-efterlevnad
- blockchain konferens
- coinbase
- coingenius
- Cointelegraph
- Konsensus
- kryptokonferens
- crypto mining
- kryptovaluta
- <b>PostNord</b>
- decentraliserad
- Defi
- Digitala tillgångar
- ethereum
- hackare
- hacka
- Lån
- maskininlärning
- icke fungibelt symbol
- plato
- plato ai
- Platon Data Intelligence
- Platonblockchain
- PlatonData
- platogaming
- Polygon
- bevis på spel
- W3
- zephyrnet
