DeFi protokol belirteci NFD, bir flaş kredi saldırısından sonra %99 oranında çöküyor

Yeni Ücretsiz DAO, merkezi olmayan finans (DeFi) Protokol, Perşembe günü bir dizi hızlı kredi saldırısıyla karşı karşıya kaldı ve bunun sonucunda 1.25 milyon dolarlık bir kayıp rapor edildi. Saldırının ardından yerel tokenın fiyatı %99 düştü.

Normal kredilerden farklı olarak, birçok DeFi protokolü, kullanıcıların önceden teminat yatırmadan büyük miktarlarda varlık ödünç almasına olanak tanıyan flaş krediler sunuyor. Tek koşul, kredinin belirli bir süre içerisinde tek bir işlemde iade edilmesidir. Ancak bu özellik, genellikle kötü niyetli saldırganlar tarafından, DeFi protokollerini hedef alan maliyetli saldırılar başlatmak üzere büyük miktarlarda varlık toplamak amacıyla istismar ediliyor.

Blockchain güvenlik firması CertiK Perşembe günü kripto topluluğunu, flaş kredi saldırısı nedeniyle NFD tokeninin %99'luk fiyat düşüşü konusunda uyardı. Saldırganın doğrulanmamış bir sözleşme kullandığı ve kendisini üye olarak eklemek için "addMember()" işlevini çağırdığı bildirildi. Saldırgan daha sonra doğrulanmamış sözleşmenin yardımıyla üç flaş kredi saldırısı gerçekleştirdi.

#CertiKSkynetUyarı

Yeni Ücretsiz Dao – $NFD saldırgana 4481 WBNB (yaklaşık 1.25 milyon$) kazandırarak tokenin fiyatının %99 düşmesine neden olan flaş kredi saldırısı yoluyla istismar edildi.

Saldırganın, 3 ay önce 4 BNB aldıkları Neorder – $N930DR saldırısıyla bağlantıları var. pic.twitter.com/5Rcht3YiIK

— CertiK Uyarısı (@CertiKAlert) Eylül 8, 2022

Saldırgan ilk olarak flaş kredi yoluyla 250 dolar değerinde 69,825 Wrapped BNB (wBNB) ödünç aldı ve hepsini yerel token NFD ile değiştirdi. Sözleşme daha sonra tekrar tekrar airdrop ödüllerini talep etmek için birden fazla saldırı sözleşmesi oluşturmak için kullanıldı. Saldırgan daha sonra tüm airdrop ödüllerini wBNB ile değiştirerek 4481'e fayda sağladı. BNB.

Saldırgan, 4481 BNB'den ödünç alınan 250 BNB'yi iade etti ve 2,000 BNB'yi, blockchainin Binance-Peg tokeni olan 550,000 BSC-USD ile takas etti. Daha sonra saldırgan 400 BNB'yi popüler para karıştırma hizmeti Tornado Cash'e aktardı.

Güvenlik Operasyonları Direktörü Hugh Brooks, Cointelegraph'a yaptığı açıklamada güvenlik açığının Yeni Ücretsiz DAO projesi tarafından uygulanan doğrulanmamış bir ödüllendirme sözleşmesinden kaynaklandığını söyledi. Ancak "ödüllendirme sözleşmesi doğrulanmadığı için asıl nedeni bilmiyoruz."

CertiK ayrıca NFD'ye yapılan flaş kredi saldırısının arkasındaki hackerın bu kişilerle akraba olduğunu da bildirdi. sömürülen Neorder (N3DR) bu yılın başlarında Mayıs ayında. Daha sonra başka bir blockchain güvenlik firması Beosin, Cointelegraph'a her iki saldırının da arkasındaki saldırganların aynı olabileceğini söyledi. Certik de aynısını doğruladı ve şunları söyledi:

"$N3DR saldırısından çalınan fonlar, bu saldırıdan çalınan fonları alan cüzdanın aynısı olan EOA 0x22C9'a gönderildi."

İlgili: Solana tabanlı stablecoin NIRV, 85 milyon dolarlık istismarın ardından %3.5 düştü

Beosin ayrıca NFD protokolündeki başka bir tür flaş kredi saldırısı için kullanılabilecek başka bir güvenlik açığını da vurguladı. Güvenlik firması, fiyatın "çiftteki USDT bakiyesi kullanılarak hesaplandığı için manipüle edilebileceğini, bu nedenle istismar edilmesi durumunda ani kredi saldırısına yol açabileceğini" söyledi.

3/ Bu saldırıyla ilgisi olmasa da, başka bir güvenlik açığı da bulduk. $NFD Fiyat manipülasyonuna yol açabilecek sözleşme. pic.twitter.com/kKvx4hRdE4

— Beosin Uyarısı (@BeosinAlert) Eylül 8, 2022

Flaş kredi saldırıları, düşük risk, düşük maliyet ve yüksek ödül faktörleri nedeniyle bilgisayar korsanları arasında giderek daha popüler hale geliyor. Çarşamba günü, Avalanche tabanlı kredi protokolü Nereus Finance bir saldırının kurbanı oldu. kurnaz flaş kredi saldırısı USD Coin'de 371,000 $'lık bir kayba neden oldu (USDC). Haziran ayının başlarında Inverse Finance, başka bir ani kredi saldırısında 1.2 milyon dolar kaybetti.