O New Free DAO, um protocolo de finanças descentralizadas (DeFi), enfrentou uma série de hacks de empréstimos flash na quinta-feira, resultando em uma perda relatada de US$ 1,25 milhão. O preço do token nativo caiu 99% após o ataque.

Ao contrário dos empréstimos normais, vários protocolos DeFi oferecem empréstimos instantâneos que permitem aos usuários emprestar grandes quantidades de ativos sem depósitos colaterais iniciais. A única condição é que o empréstimo seja devolvido em uma única transação dentro de um período de tempo definido. No entanto, esse recurso é frequentemente explorado por adversários agentes mal-intencionados para reunir grandes quantidades de ativos e lançar hacks caros direcionados aos protocolos DeFi.

A empresa de segurança Blockchain CertiK alertou a comunidade de criptomoedas na quinta-feira sobre o crash de 99% no preço do token NFD devido a ao hack de empréstimo flash. O invasor supostamente implantou um contrato não verificado e chamou a função “addMember()” para se adicionar como membro. Mais tarde, o hacker executou três ataques de empréstimo flash com a ajuda do contrato não verificado.

#CertiKSkynetAlert

New Free Dao - $NFD foi hackeado por meio de um ataque de empréstimo flash, ganhando o invasor 4481 WBNB (aproximadamente ~ US$ 1,25 milhão), fazendo com que o token perdesse 99% do seu valor.

O invasor tem conexões com Neorder - ataque $N3DR de 4 meses atrás, onde eles levaram 930 BNB na época. pic.twitter.com/5Rcht3YiIK

— CertiK Alert (@CertiKAlert) 8 de setembro de 2022

O invasor primeiro emprestou 250 Wrapped BNB (wBNB) no valor de US$ 69.825 por meio de empréstimo em flash e trocou todos eles pelo NFD de token nativo. O contrato foi então usado para criar vários contratos de hack para reivindicar recompensas de airdrop  repetidamente. O hacker então trocou todas as recompensas de airdrop por wBNB beneficiando 4481 BNB.

Dos 4.481 BNB, o atacante devolveu o empréstimo emprestado de 250 BNB e trocou 2.000 BNB por 550.000 BSC-USD, o token com lastro na Binance da blockchain. Mais tarde, o invasor transferiu 400 BNB para o popular serviço de mistura de moedas Tornado Cash.

Joe Green, OSINT e analista de blockchain da Certik, disse ao Cointelegraph que a vulnerabilidade estava em um contrato recompensador não verificado implantado pelo projeto New Free DAO. No entanto, "como o contrato de recompensa não foi verificado, não sabemos a causa raiz".

A CertiK também notificou que o hacker por trás do ataque de empréstimo instantâneo ao NFD estava relacionado àqueles que hackearam o Neorder (N3DR) em maio no início deste ano. Mais tarde, outra empresa de segurança blockchain Beosin disse ao Cointelegraph que os atacantes por trás de ambas as explorações poderiam ser os mesmos. A Certik confirmou o mesmo e disse:

"Os fundos roubados do ataque $N3DR foram enviados para EOA 0x22C9... que é a mesma carteira que recebeu os fundos roubados deste ataque."

Beosin também destacou outra vulnerabilidade com o protocolo NFD que poderia ser usado para outro tipo de ataque de empréstimo flash. A empresa de segurança disse que o preço pode ser manipulado, uma vez que são calculados “usando o saldo de USDT no par, portanto, pode levar a um ataque de empréstimo flash se explorado”.

3/ Embora não relacionado a este ataque, também encontramos outra vulnerabilidade no contrato $NFD que pode levar à manipulação de preços.

— Alerta Beosin (@BeosinAlert) 8 de setembro de 2022

Os ataques de empréstimo flash têm sido cada vez mais populares entre os hackers devido aos fatores de baixo risco, baixo custo e alta recompensa. Na quarta-feira, o protocolo de empréstimos Nereus Finance, baseado em Avalanche, foi vítima de um hack de empréstimo flash engenhoso, resultando em uma perda de US$ 371.000 em USD Coin (USDC). No início de junho, a Inverse Finance perdeu US$ 1,2 milhão em outro ataque de empréstimo flash.

LEIA MAIS: