8 сентября New Free DAO, протокол децентрализованного финансирования (DeFi), столкнулся с серией мгновенных кредитных атак, что привело к потерям в размере 1,25 миллиона долларов. Цена нативного токена упала на 99% после атаки.
В отличие от обычных кредитов, несколько протоколов DeFi предлагают мгновенные кредиты, которые позволяют пользователям занимать большие суммы активов без авансовых залоговых депозитов. Единственным условием является возврат кредита одной транзакцией в течение установленного периода времени. Однако эта функция часто используется злоумышленниками для сбора больших объемов активов для запуска дорогостоящих эксплойтов, нацеленных на протоколы DeFi.
В четверг компания Certik, занимающаяся безопасностью блокчейна, предупредила криптовалютное сообщество о снижении цены токена NFD на 99% из-за атаки с использованием флэш-кредита. Сообщается, что злоумышленник развернул непроверенный контракт и вызвал функцию «addMember()», чтобы добавить себя в качестве участника. Злоумышленник позже осуществил три атаки мгновенных кредитов с помощью непроверенного контракта.
#CertiKSkynetAlert New Free Dao — $NFD был использован с помощью атаки мгновенного кредита, в результате чего злоумышленник получил 4481 WBNB (примерно ~ 1,25 млн долларов), в результате чего токен упал в цене на 99%. Злоумышленник связан с атакой Neorder — $N3DR 4 месяца назад, когда он забрал 930 BNB.pic.twitter.com/5Rcht3YiIK— Оповещение CertiK (@CertiKAlert) 8 сентября 2022 г.
Злоумышленник сначала занял 250 WBNB на сумму 69 825 долларов США через флэш-кредит и обменял их все на нативный токен NFD. Затем контракт использовался для создания нескольких контрактов на атаку, чтобы неоднократно требовать вознаграждения за раздачу. Затем злоумышленник обменял все награды за раздачу на WBNB, получив 4481 BNB.
Из 4481 BNB злоумышленник вернул взятый кредит (250 BNB) и обменял 2000 BNB на 550 000 BSC-USD. Позже злоумышленник перевел 400 BNB на популярный сервис миксера монет Tornado Cash.
Certik также уведомил, что хакер, стоящий за атакой на NFD, был связан с теми, кто использовал Neorder (N3DR) в мае ранее в этом году. Позже другая фирма по обеспечению безопасности блокчейна Beosin сообщила Cointelegraph, что злоумышленники, стоящие за обоими эксплойтами, могут быть одними и теми же.
Связанный: Стейблкоин NIRV на основе Соланы упал на 85% после эксплойта на 3,5 миллиона долларов
Беосин также указал на еще одну уязвимость в протоколе NFD, которая может быть использована для другого типа атаки с использованием мгновенных кредитов. Фирма по обеспечению безопасности заявила, что ценой можно манипулировать, поскольку они рассчитываются «с использованием баланса USDT в паре, поэтому это может привести к атаке мгновенного кредита в случае эксплуатации».
3/ Хотя это и не связано с этой атакой, мы также обнаружили еще одну уязвимость в контракте $NFD, которая может привести к манипулированию ценами.pic.twitter.com/kKvx4hRdE4— Оповещение Beosin (@BeosinAlert) 8 сентября 2022 г.
Атаки с использованием флэш-кредитов становятся все более популярными среди хакеров из-за низкого риска, низкой стоимости и высоких факторов вознаграждения.7 сентября кредитный протокол Nereus Finance, основанный на Avalanche, стал жертвой хитроумной атаки на мгновенное кредитование, что привело к потере 371 000 долларов США в долларах США. Ранее в июне Inverse Finance потеряла 1,2 миллиона долларов в результате очередной атаки на кредиты.
