Các khoản vay nhanh cho phép người dùng vay một lượng lớn tài sản mà không cần phải cung cấp bất kỳ tài sản thế chấp trả trước nào, điều này thường được những kẻ gian lợi sử dụng để khởi động các cuộc tấn công vào các giao thức DeFi.
DAO miễn phí mới, một giao thức tài chính phi tập trung (DeFi), đã phải đối mặt với một loạt các cuộc tấn công cho vay nhanh vào ngày 8 tháng 9, dẫn đến khoản lỗ được báo cáo là 1,25 triệu đô la. Giá của Token gốc đã giảm 99% sau cuộc tấn công.
Không giống như các khoản vay thông thường, một số giao thức DeFi cung cấp các khoản vay nhanh cho phép người dùng vay số lượng lớn tài sản mà không cần trả trước tiền đặt cọc. Điều kiện duy nhất là khoản vay phải được hoàn trả trong một giao dịch duy nhất trong một khoảng thời gian nhất định. Tuy nhiên, tính năng này thường bị những kẻ thù xấu lợi dụng để thu thập một lượng lớn tài sản nhằm khởi chạy các hoạt động khai thác tốn kém nhắm vào các giao thức DeFi.
Công ty bảo mật blockchain Certik đã cảnh báo cộng đồng tiền điện tử vào thứ Năm về sự trượt giá 99% của Token NFD do một cuộc tấn công cho vay chớp nhoáng. Kẻ tấn công được cho là đã triển khai một hợp đồng chưa được xác minh và gọi hàm addMember () để thêm chính nó làm thành viên. Kẻ tấn công sau đó đã thực hiện ba cuộc tấn công cho vay nhanh với sự hỗ trợ của hợp đồng chưa được xác minh.
#CertiKSkynetAlert
— CertiK Alert (@CertiKAlert) September 8, 2022
New Free Dao - $NFD was exploited via flash loan attack gaining the attacker 4481 WBNB (approx. ~$1.25M) causing the token to slip in price 99%.
The attacker has connections to Neorder - $N3DR attack from 4 months ago where they took 930 BNB at the time. pic.twitter.com/5Rcht3YiIK
Đầu tiên kẻ tấn công đã vay 250 WBNB trị giá 69.825 đô la thông qua khoản vay nhanh và đổi tất cả chúng lấy Token gốc NFD. Sau đó, hợp đồng được sử dụng để tạo nhiều hợp đồng tấn công để nhận phần thưởng airdrop nhiều lần. Sau đó, kẻ tấn công đã đổi tất cả phần thưởng airdrop thành WBNB, thu lợi 4481 BNB.
Trong số 4481 BNB, kẻ tấn công đã trả lại khoản vay đã vay (250 BNB) và đổi 2.000 BNB lấy 550.000 BSC-USD. Sau đó, kẻ tấn công đã chuyển 400 BNB sang dịch vụ trộn tiền xu phổ biến Tornado Cash.
Certik cũng thông báo rằng hacker đứng sau cuộc tấn công cho vay nhanh vào NFD có liên quan đến những kẻ đã khai thác Neorder (N3DR) vào tháng 5 đầu năm nay. Sau đó, một công ty bảo mật blockchain khác là Beosin nói với Cointelegraph rằng những kẻ tấn công đằng sau cả hai vụ khai thác có thể giống nhau.
Beosin cũng nêu bật một lỗ hổng khác với giao thức NFD có thể được sử dụng thêm cho một kiểu tấn công cho vay nhanh khác. Công ty bảo mật nói rằng giá có thể bị thao túng vì chúng được tính bằng cách sử dụng số dư USDT trong cặp tiền, vì vậy nó có thể dẫn đến cuộc tấn công cho vay nhanh nếu bị khai thác.
3/ Although unrelated to this attack, we also find another vulnerability in the $NFD contract that may lead to price manipulation. pic.twitter.com/kKvx4hRdE4
— Beosin Alert (@BeosinAlert) September 8, 2022
Các cuộc tấn công cho vay nhanh ngày càng phổ biến trong giới tin tặc do rủi ro thấp, chi phí thấp và các yếu tố phần thưởng cao. Vào ngày 7 tháng 9, giao thức cho vay dựa trên Avalanche, Nereus Finance đã trở thành nạn nhân của một cuộc tấn công cho vay nhanh xảo quyệt dẫn đến mất 371.000 đô la USDC. Đầu tháng 6, Inverse Finance đã mất 1,2 triệu đô la trong một cuộc tấn công cho vay chớp nhoáng khác.
Theo CoinTelegraph
|
Tags: DAO, Hacks, Hackers, Loans,