New Free DAO, протокол децентрализованных финансов (DeFi), 8 сентября столкнулся с серией атак на флэш-кредиты, в результате которых, как сообщается, было потеряно 1,25 миллиона долларов. Цена нативного токена упала на 99% после атаки.

В отличие от обычных кредитов, несколько протоколов DeFi предлагают флэш-кредиты, которые позволяют пользователям занимать большие суммы активов без предварительных залоговых депозитов. Единственным условием является то, что заем должен быть возвращен одной транзакцией в течение установленного периода времени. Однако эта возможность часто используется злоумышленниками для сбора большого количества активов, чтобы запустить дорогостоящие атаки на протоколы DeFi.

В четверг компания Certik, занимающаяся вопросами безопасности блокчейна, предупредила криптосообщество о 99-процентном падении цены токена NFD из-за атаки флэш-кредита. Как сообщается, злоумышленник развернул непроверенный контракт и вызвал функцию "addMember()", чтобы добавить себя в качестве участника. Позже злоумышленник осуществил три атаки флэш-кредитования с помощью непроверенного контракта.

#CertiKSkynetAlert

New Free Dao - $NFD был использован через атаку флэш-кредитования, в результате которой злоумышленник получил 4481 WBNB (около ~$1.25M), что привело к снижению цены токена на 99%.

Атакующий имеет связи с атакой Neorder - $N3DR 4 месяца назад, где они забрали 930 BNB. pic.Twitter.com/5Rcht3YiIK

- CertiK Alert (@CertiKAlert) 8 сентября 2022 г.

Сначала злоумышленник взял 250 WBNB на сумму 69 825 долларов США через флэш-кредит и обменял их все на нативный токен NFD. Затем этот контракт был использован для создания нескольких атакующих контрактов, чтобы неоднократно требовать вознаграждения за airdrop. Затем злоумышленник обменял все вознаграждения за airdrop на WBNB, получив 4481 BNB.

Из 4481 BNB злоумышленник вернул взятый кредит (250 BNB) и обменял 2000 BNB на 550 000 BSC-USD. Позже злоумышленник перевел 400 BNB на популярный сервис обмена монет Tornado Cash.

Движение средств из кошелька атакующего НФД в кассу "Торнадо" Источник: Сканирование BSC
Движение средств из кошелька атакующего НФД в кассу "Торнадо" Источник: Сканирование BSC

Certik также уведомил, что хакер, стоящий за атакой на NFD с использованием флэш-кредитов, связан с теми, кто использовал Neorder (N3DR) в мае этого года. Позже другая фирма по безопасности блокчейн Beosin сообщила Cointelegraph, что злоумышленники, стоящие за обоими эксплойтами, могут быть одними и теми же.

Беосин также выделил еще одну уязвимость в протоколе NFD, которая в дальнейшем может быть использована для другого типа атаки на флэш-кредиты. Компания по безопасности заявила, что ценами можно манипулировать, так как они рассчитываются "с использованием баланса USDT в паре, поэтому при эксплуатации это может привести к атаке флэш-кредитования".

3/ Хотя это не связано с данной атакой, мы также обнаружили еще одну уязвимость в контракте $NFD, которая может привести к манипулированию ценами. pic.twitter.com/kKvx4hRdE4

- Beosin Alert (@BeosinAlert) 8 сентября 2022 г.

Атаки на флэш-кредиты становятся все более популярными среди хакеров из-за факторов низкого риска, низкой стоимости и высокого вознаграждения. 7 сентября кредитный протокол Nereus Finance, базирующийся в Лавине, стал жертвой хитроумной атаки на флэш-кредиты, в результате которой было потеряно 371 000 долларов США в USDC. Ранее в июне компания Inverse Finance потеряла 1,2 миллиона долларов США в результате другой атаки флэш-кредитования.

Источник