New Free DAO, một giao thức tài chính phi tập trung (DeFi), đã phải đối mặt với một loạt các cuộc tấn công cho vay flash vào ngày 8 tháng 9, dẫn đến thiệt hại 1,25 triệu USD. Giá của mã thông báo gốc đã giảm 99% trong sự trỗi dậy của cuộc tấn công.
Không giống như các khoản vay thông thường, một số giao thức DeFi cung cấp các khoản vay flash cho phép người dùng vay một lượng lớn tài sản mà không cần tiền gửi tài sản thế chấp trước. Điều kiện duy nhất là khoản vay phải được trả lại trong một giao dịch duy nhất trong một khoảng thời gian nhất định. Tuy nhiên, tính năng này thường bị các đối thủ độc hại khai thác để thu thập một lượng lớn tài sản để khởi động các khai thác tốn kém nhắm vào các giao thức DeFi.
Công ty bảo mật Blockchain Certik đã cảnh báo cộng đồng crypto vào thứ Năm về sự trượt giá 99% của mã thông báo NFD do một cuộc tấn công cho vay flash. Kẻ tấn công được báo cáo đã triển khai một hợp đồng chưa được xác minh và gọi chức năng “AddMember ()” để thêm chính nó như một thành viên. Kẻ tấn công sau đó đã thực hiện ba cuộc tấn công cho mượn flash với sự hỗ trợ của hợp đồng chưa được xác minh.
Mới miễn phí Dao – $NFD đã được khai thác qua cuộc tấn công vay flash đạt được kẻ tấn công 4481 WBNB (xấp xỉ ~1,25 triệu USD) khiến token trượt giá 99%.
Kẻtấn công có kết nối với Neorder – $N3DR tấn công từ 4 tháng trước, nơi họ mất 930 BNB vào thời điểm đó. Pic.twitter.com/5rcht3yiik
— Certik Alert (@CertiKAlert) Tháng Chín 8, 2022
Kẻ tấn công lần đầu tiên mượn 250 WBNB trị giá 69,825 USD thông qua khoản vay flash và trao đổi tất cả chúng cho mã thông báo gốc NFD. Hợp đồng sau đó được sử dụng để tạo ra nhiều hợp đồng tấn công để đòi phần thưởng airdrop nhiều lần. Kẻ tấn công sau đó trao đổi tất cả các phần thưởng airdrop cho WBNB hưởng lợi 4481 BNB.
số 4481 BNB, kẻ tấn công trả lại khoản vay mượn (250 BNB) và đổi 2.000 BNB cho 550.000 BSC-USD. Sau đó, kẻ tấn công đã chuyển 400 BNB đến dịch vụ máy trộn đồng xu phổ biến Tornado Cash.
Certik cũng thông báo rằng hacker đằng sau cuộc tấn công cho vay flash vào NFD có liên quan đến những người khai thác Neorder (N3DR) trong tháng 5 trước đó năm nay. Sau đó, một công ty bảo mật blockchain khác Beosin nói với Cointelegraph rằng những kẻ tấn công đằng sau cả hai vụ khai thác có thể giống nhau.
Liên quan: Stableecoin NIRV dựa trên Solana giảm 85% sau khi khai thác 3,5 triệu USD
Beosin cũng nhấn mạnh một lỗ hổng khác với giao thức NFD có thể được sử dụng thêm cho một loại tấn công flash vay khác. Công ty bảo mật cho biết giá có thể bị thao túng vì chúng được tính toán “sử dụng số dư USDT trong cặp này, vì vậy nó có thể dẫn đến cuộc tấn công cho vay flash nếu được khai thác.”
3/ Mặc dù không liên quan đến cuộc tấn công này, chúng tôi cũng tìm thấy một lỗ hổng khác trong hợp đồng $NFD có thể dẫn đến thao tác giá cả. Pic.twitter.com/KKvx4hrde4
— Beosin Alert (@BeosinAlert) Tháng Chín 8, 2022
cuộc tấn công cho vay Flash đã ngày càng phổ biến trong số các tin tặc do rủi ro thấp, chi phí thấp và các yếu tố thưởng cao. Vào ngày 7 tháng 9, giao thức cho vay dựa trên Avalanche Nereus Finance đã trở thành nạn nhân của một cuộc tấn công cho vay nhanh xảo quyệt dẫn đến tổn thất 371.000 USD tại USDC. Trước đó vào tháng 6, Inverse Finance đã mất 1,2 triệu USD trong một cuộc tấn công cho vay chớp nhoáng khác.
