Mã thông báo giao thức DeFi NFD sụp đổ 99% sau một cuộc tấn công cho vay nhanh

DAO miễn phí mới, một tài chính phi tập trung (DeFi) giao thức, đã phải đối mặt với một loạt các cuộc tấn công cho vay nhanh vào thứ Năm, dẫn đến khoản lỗ được báo cáo là 1.25 triệu đô la. Giá của mã thông báo gốc đã giảm 99% sau cuộc tấn công.

Không giống như các khoản vay thông thường, một số giao thức DeFi cung cấp các khoản vay nhanh cho phép người dùng vay một lượng lớn tài sản mà không cần trả trước tiền đặt cọc. Điều kiện duy nhất là khoản vay phải được hoàn trả trong một giao dịch duy nhất trong một khoảng thời gian nhất định. Tuy nhiên, tính năng này thường bị những kẻ thù xấu lợi dụng để thu thập một lượng lớn tài sản nhằm khởi động các cuộc khai thác tốn kém nhắm vào các giao thức DeFi.

Công ty bảo mật chuỗi khối CertiK đã cảnh báo cộng đồng tiền điện tử vào thứ Năm về sự trượt giá 99% của mã thông báo NFD do một cuộc tấn công cho vay chớp nhoáng. Kẻ tấn công được cho là đã triển khai một hợp đồng chưa được xác minh và gọi hàm “addMember ()” để thêm chính nó làm thành viên. Kẻ tấn công sau đó đã thực hiện ba cuộc tấn công cho vay chớp nhoáng với sự hỗ trợ của hợp đồng chưa được xác minh.

#CertiKskynetAlert

Đạo tự do mới - $ NFD đã bị khai thác thông qua cuộc tấn công cho vay nhanh, lấy được 4481 WBNB của kẻ tấn công (khoảng $ 1.25M) khiến mã thông báo giảm giá 99%.

Kẻ tấn công có mối liên hệ với Neorder - cuộc tấn công $ N3DR từ 4 tháng trước, nơi chúng đã lấy 930 BNB vào thời điểm đó. pic.twitter.com/5Rcht3YiIK

- Cảnh báo CertiK (@CertiKAlert) Ngày 8 tháng 2022 năm XNUMX

Đầu tiên kẻ tấn công đã vay 250 Wrapped BNB (wBNB) trị giá 69,825 đô la thông qua khoản vay nhanh và đổi tất cả chúng lấy mã thông báo gốc NFD. Sau đó, hợp đồng được sử dụng để tạo nhiều hợp đồng tấn công để nhận phần thưởng airdrop nhiều lần. Kẻ tấn công sau đó đã đổi tất cả phần thưởng airdrop thành wBNB, thu lợi 4481 BNB.

Trong số 4481 BNB, kẻ tấn công đã trả lại khoản vay 250 BNB đã vay và đổi 2,000 BNB lấy 550,000 BSC-USD, mã thông báo Binance-Peg của blockchain. Sau đó, kẻ tấn công đã chuyển 400 BNB sang dịch vụ trộn tiền xu phổ biến Tornado Cash.

Hugh Brooks, Giám đốc Hoạt động Bảo mật, nói với Cointelegraph rằng lỗ hổng bảo mật nằm trong một hợp đồng khen thưởng chưa được xác minh được triển khai bởi dự án DAO Miễn phí Mới. Tuy nhiên, “vì hợp đồng trả thưởng không được xác minh nên chúng tôi không biết nguyên nhân sâu xa”.

CertiK cũng thông báo rằng tin tặc đứng sau cuộc tấn công cho vay nhanh vào NFD có liên quan đến những người khai thác Neorder (N3DR) vào tháng XNUMX đầu năm nay. Sau đó, một công ty bảo mật blockchain khác là Beosin nói với Cointelegraph rằng những kẻ tấn công đằng sau cả hai vụ khai thác có thể giống nhau. Certik cũng xác nhận như vậy và nói:

“Các khoản tiền bị đánh cắp từ cuộc tấn công $ N3DR đã được gửi đến EOA 0x22C9… chính là ví đã nhận số tiền bị đánh cắp từ cuộc tấn công này.”

Liên quan: NIRV ổn định dựa trên Solana giảm 85% sau khi khai thác 3.5 triệu đô la

Beosin cũng nêu bật một lỗ hổng khác với giao thức NFD có thể được sử dụng thêm cho một kiểu tấn công cho vay nhanh khác. Công ty bảo mật nói rằng giá có thể bị thao túng vì chúng được tính toán "bằng cách sử dụng số dư USDT trong cặp, vì vậy nó có thể dẫn đến cuộc tấn công cho vay nhanh nếu bị khai thác."

3 / Mặc dù không liên quan đến cuộc tấn công này, chúng tôi cũng tìm thấy một lỗ hổng khác trong $ NFD hợp đồng có thể dẫn đến thao túng giá. pic.twitter.com/kKvx4hRdE4

- Cảnh báo Beosin (@BeosinAlert) Ngày 8 tháng 2022 năm XNUMX

Các cuộc tấn công cho vay nhanh ngày càng phổ biến trong giới tin tặc do rủi ro thấp, chi phí thấp và các yếu tố phần thưởng cao. Vào thứ Tư, giao thức cho vay dựa trên Avalanche Nereus Finance đã trở thành nạn nhân của một cuộc tấn công cho vay nhanh xảo quyệt dẫn đến khoản lỗ $ 371,000 tiền USD Coin (USDC). Trước đó vào tháng 1.2, Inverse Finance đã mất XNUMX triệu đô la trong một cuộc tấn công cho vay chớp nhoáng khác.