New Free DAO, ein dezentralisiertes Finanzprotokoll (DeFi), sah sich am 8. September einer Reihe von Flash-Darlehensangriffen gegenüber, die zu einem gemeldeten Verlust von 1,25 Millionen US-Dollar führten. Der Preis des nativen Tokens ist im Zuge des Angriffs um 99 % gefallen.
Im Gegensatz zu normalen Krediten bieten mehrere DeFi-Protokolle Flash-Kredite an, mit denen Benutzer große Mengen an Vermögenswerten ohne Vorauszahlung von Sicherheiten ausleihen können. Einzige Bedingung ist, dass das Darlehen in einer einzigen Transaktion innerhalb einer festgelegten Frist zurückgezahlt werden muss. Diese Funktion wird jedoch häufig von böswilligen Gegnern ausgenutzt, um große Mengen an Vermögenswerten zu sammeln, um kostspielige Exploits zu starten, die auf DeFi-Protokolle abzielen.
Die Blockchain-Sicherheitsfirma Certik warnte die Krypto-Community am Donnerstag vor dem 99-prozentigen Preisverfall des NFD-Tokens aufgrund eines Flash-Loan-Angriffs. Berichten zufolge setzte der Angreifer einen ungeprüften Vertrag ein und rief die Funktion „addMember()“ auf, um sich selbst als Mitglied hinzuzufügen. Der Angreifer führte später mit Hilfe des ungeprüften Vertrages drei Flash-Loan-Attacken durch.
Neues freies Dao – $NFD wurde über einen Flash-Darlehensangriff ausgenutzt, wodurch der Angreifer 4481 WBNB (ca. 1,25 Mio.
Der Angreifer hat Verbindungen zu Neorder – $N3DR-Angriff von vor 4 Monaten, wo sie damals 930 BNB nahmen. pic.twitter.com/5Rcht3YiIK
— CertiK-Alarm (@CertiKAlert) 8. September 2022
Der Angreifer lieh sich zunächst 250 WBNB im Wert von 69.825 $ per Flash-Darlehen und tauschte sie alle gegen den nativen Token NFD. Der Vertrag wurde dann verwendet, um mehrere Angriffsverträge zu erstellen, um wiederholt Airdrop-Belohnungen zu erhalten. Der Angreifer tauschte dann alle Airdrop-Belohnungen gegen WBNB aus, was 4481 BNB zugute kam.
Von den 4481 BNB gab der Angreifer den geliehenen Kredit (250 BNB) zurück und tauschte 2.000 BNB gegen 550.000 BSC-USD. Später bewegte der Angreifer 400 BNB zum beliebten Münzmischer-Dienst Tornado Cash.
Certik teilte auch mit, dass der Hacker hinter dem Flash-Loan-Angriff auf NFD mit denen verwandt war, die ausgebeutet Neorder (N3DR) im Mai Anfang dieses Jahres. Später sagte eine andere Blockchain-Sicherheitsfirma, Beosin, gegenüber Cointelegraph, dass die Angreifer hinter beiden Exploits die gleichen sein könnten.
Verwandt: Der auf Solana basierende Stablecoin NIRV fällt nach einem 3,5-Millionen-Dollar-Exploit um 85 %
Beosin hob auch eine weitere Schwachstelle des NFD-Protokolls hervor, die für eine andere Art von Flash-Loan-Angriffen weiter verwendet werden könnte. Die Sicherheitsfirma sagte, dass der Preis manipuliert werden könnte, da er „unter Verwendung des USDT-Saldos im Paar berechnet wird, so dass es bei Ausnutzung zu einem Flash-Loan-Angriff kommen kann“.
3/ Obwohl nichts mit diesem Angriff zu tun hat, finden wir auch eine weitere Schwachstelle in der $NFD Vertrag, der zu Preismanipulationen führen kann. pic.twitter.com/kKvx4hRdE4
– Beosin-Alarm (@BeosinAlert) 8. September 2022
Flash-Darlehensangriffe erfreuen sich bei Hackern aufgrund des geringen Risikos, der niedrigen Kosten und der hohen Belohnungsfaktoren zunehmender Beliebtheit. Am 7. September wurde das Avalanche-basierte Kreditprotokoll Nereus Finance Opfer eines listigen Blitzkreditangriffs, der zu einem Verlust von 371.000 USD in USDC führte. Anfang Juni verlor Inverse Finance 1,2 Millionen US-Dollar bei einem weiteren Flash-Loan-Angriff.