New Free DAO (NFD) потерял 1,25 млн. долларов из-за мгновенной кредитной атаки

8 сентября 2022, в 02:09:25 UTC, инфраструктура безопасности Certik, Skynet, обнаружила атаку мгновенного кредита на New Free DAO (NFD) — протокол DeFi в цепочке BSC. NFD подвергся атаке мгновенного кредита на сумму около 1,25 миллиона долларов (4 481 BNB), хотя хакеры смогли обналичить только 2 000 BNB (556 556 долларов), оставив 2 481 BNB в кошельке злоумышленника.

New Free DAO (NFD) потерял 1,25 млн. долларов из-за мгновенной кредитной атаки

New Free DAO взломан

После взлома цена токена $NFD резко упала, упав на 99%, при этом злоумышленник сбросил в общей сложности 6 838 792 токена NFD. CertiK Skynet считает, что эта атака была организована той же группой хакеров, которая украла 930 BNB у Neorder (N3DR) около четырех месяцев назад.

Несколько протоколов DeFi предлагают мгновенные кредиты, которые позволяют пользователям занимать значительные суммы активов без предварительного залогового депозита, в отличие от обычных кредитов. Единственным требованием является то, что кредит должен быть погашен в одной транзакции в течение заранее определенного периода времени. Однако хакеры часто используют эту функцию для накопления значительных активов для проведения дорогостоящих атак на протоколы DeFi.

Атаки с флэш-кредитами не новы для пространства DeFi, жертвами атаки стали несколько проектов. Они работают, по сути, манипулируя ценами после того, как злоумышленник берет необеспеченный кредит. Они относительно просты в исполнении, отсюда и их популярность.

CertiK предупредил криптосообщество о снижении цены токена NFD на 99%, пояснив далее, что злоумышленник, как сообщается, развернул непроверенный контракт и вызвал функцию «addMember()», чтобы добавить себя в качестве участника. Злоумышленник позже осуществил три атаки мгновенных кредитов с помощью непроверенного контракта.

Как происходила атака?

Злоумышленник сначала занял 250 Wrapped BNB (wBNB) на сумму 69 825 долларов США через платформу мгновенного кредита и обменял их все на собственный токен NFD. Затем контракт был использован для создания нескольких контрактов на атаку, чтобы многократно требовать вознаграждения за раздачу. Затем злоумышленник обменял все награды за раздачу на wBNB, украв в общей сложности 4481 BNB.

Затем злоумышленник вернул заем в размере 250 BNB и обменял 2000 BNB на 556 556 BSC-USD, токен Binance-Peg блокчейна. Через некоторое время злоумышленник перевел 400 BNB в Tornado Cash.

Аналитики Certik отмечают, что уязвимость заключалась в неподтвержденном контракте с вознаграждением, развернутом в рамках проекта New Free DAO. Однако «поскольку контракт с вознаграждением не подтвержден, мы не знаем первопричины».

Компания Beosin, занимающаяся аудитом блокчейна, также предупредила о еще одной уязвимости в протоколе NFD, которая может быть открыта для новой атаки с использованием флэш-кредита. Фирма по обеспечению безопасности заявила, что ценой можно манипулировать, поскольку они рассчитываются «с использованием баланса USDT в паре, поэтому это может привести к атаке мгновенного кредита в случае эксплуатации».

Несмотря на значительные меры безопасности, принятые криптографическими протоколами и протоколами DeFi, эти проекты по-прежнему легко используются хакерами.

 В июне 2022 года протокол DeFi Inverse Finance подвергся взлому мгновенного кредита, что привело к потере криптовалюты на сумму более 1,2 миллиона долларов. 2 июля 2022 года хакеры нацелились на платформу кредитования и заимствования Crema Finance в Solana в ходе еще одной атаки с быстрым кредитованием и украли 8 782 446 долларов из нескольких пулов ликвидности.

7 сентября 2022 года появились сообщения о том, что компания Nereus Finance, базирующаяся в Avalanche, также подверглась атаке по кредитам, в результате чего злоумышленники потеряли 371 тысячу долларов.