New Free DAO (NFD) втратив 1,25 млн. доларів через миттєву кредитну атаку

8 вересня 2022, о 02:09:25 UTC, інфраструктура безпеки Certik, Skynet, виявила атаку миттєвого кредиту на New Free DAO (NFD) - протокол DeFi у ланцюжку BSC. NFD зазнав атаки миттєвого кредиту на суму близько 1,25 мільйона доларів (4 481 BNB), хоча хакери змогли перевести в готівку лише 2 000 BNB (556 556 доларів), залишивши 2 481 BNB у гаманці зловмисника.

New Free DAO (NFD) втратив 1,25 млн. доларів через миттєву кредитну атаку

New Free DAO зламаний

Після злому ціна токена $NFD різко впала, впавши на 99%, при цьому зловмисник скинув 6 838 792 токена NFD. CertiK Skynet вважає, що ця атака була організована тією ж групою хакерів, яка вкрала 930 BNB у Neorder (N3DR) близько чотирьох місяців тому.

Кілька протоколів DeFi пропонують миттєві кредити, які дозволяють користувачам позичати значні суми активів без попереднього заставного депозиту, на відміну від звичайних кредитів. Єдиною вимогою є те, що кредит повинен бути погашений в одній транзакції протягом певного періоду часу. Однак хакери часто використовують цю функцію для накопичення значних активів для проведення дорогих атак на протоколи DeFi.

Атаки з флеш-кредитами не є новими для простору DeFi, жертвами атаки стали кілька проектів. Вони працюють по суті, маніпулюючи цінами після того, як зловмисник бере незабезпечений кредит. Вони відносно прості у виконанні, звідси і їхня популярність.

CertiK попередив криптоспільство про зниження ціни токена NFD на 99%, пояснивши далі, що зловмисник, як повідомляється, розгорнув неперевірений контракт і викликав функцію «addMember()», щоб додати себе як учасник. Зловмисник пізніше здійснив три атаки миттєвих кредитів за допомогою неперевіреного контракту.

Як відбувалася атака?

Зловмисник спочатку зайняв 250 Wrapped BNB (wBNB) на суму 69 825 доларів США через платформу миттєвого кредиту та обміняв їх усі на власний токен NFD. Потім контракт був використаний для створення кількох контрактів на атаку, щоб багаторазово вимагати винагороду за роздачу. Потім зловмисник обміняв усі нагороди за роздачу на wBNB, вкравши загалом 4481 BNB.

Потім зловмисник повернув позику у розмірі 250 BNB і обміняв 2000 BNB на 556 556 BSC-USD, токен Binance-Peg блокчейну. Через деякий час зловмисник перевів 400 BNB у Tornado Cash.

Аналітики Certik зазначають, що вразливість полягала у непідтвердженому контракті з винагородою, розгорнутою у рамках проекту New Free DAO. Однак «оскільки контракт з винагородою не підтверджено, ми не знаємо першопричини».

Компанія Beosin, що займається аудитом блокчейну, також попередила про ще одну вразливість у протоколі NFD, яка може бути відкрита для нової атаки з використанням флеш-кредиту. Фірма із забезпечення безпеки заявила, що ціною можна маніпулювати, оскільки вони розраховуються «з використанням балансу USDT у парі, тому це може призвести до атаки миттєвого кредиту у разі експлуатації».

Незважаючи на значні заходи безпеки, вжиті криптографічними протоколами та протоколами DeFi, ці проекти, як і раніше, легко використовуються хакерами.

 У червні 2022 року протокол DeFi Inverse Finance зазнав злому миттєвого кредиту, що призвело до втрати криптовалюти на суму понад 1,2 мільйона доларів. 2 липня 2022 року хакери націлилися на платформу кредитування та запозичення Crema Finance у Solana в ході ще однієї атаки зі швидким кредитуванням і вкрали 8 782 446 доларів з кількох пулів ліквідності.

7 вересня 2022 року з'явилися повідомлення про те, що компанія Nereus Finance, що базується в Avalanche, також зазнала атаки за кредитами, внаслідок чого зловмисники втратили 371 тисячу доларів.