New Free DAO, un protocolo de finanzas descentralizadas (DeFi), enfrentó una serie de ataques de préstamos rápidos el jueves, lo que resultó en una pérdida reportada de $ 1.25 millones. El precio del token nativo se ha reducido en un 99 % a raíz del ataque.
A diferencia de los préstamos normales, varios protocolos DeFi ofrecen préstamos rápidos que permiten a los usuarios pedir prestados grandes cantidades de activos sin depósitos colaterales por adelantado. La única condición es que el préstamo debe devolverse en una sola operación dentro de un período de tiempo establecido. Sin embargo, esta característica a menudo es explotada por adversarios maliciosos para reunir grandes cantidades de activos para lanzar explotaciones costosas dirigidas a los protocolos DeFi.
La firma de seguridad de blockchain CertiK alertó a la criptocomunidad el jueves sobre la caída del precio del 99% del token NFD debido a un ataque de préstamo relámpago. Según se informa, el atacante implementó un contrato no verificado y llamó a la función “addMember()” para agregarse como miembro. Posteriormente, el atacante ejecutó tres ataques de préstamos rápidos con la ayuda del contrato no verificado.
Nuevo Dao libre – $NFD fue explotado a través de un ataque de préstamo rápido que le valió al atacante 4481 WBNB (aproximadamente ~ $ 1,25 millones) lo que provocó que el precio del token bajara un 99 %.
El atacante tiene conexiones con Neorder: ataque $N3DR de hace 4 meses, donde tomaron 930 BNB en ese momento. pic.twitter.com/5Rcht3YiIK
— Alerta CertiK (@CertiKAlert) 8 de septiembre de 2022
El atacante primero tomó prestados 250 BNB envueltos (wBNB) por un valor de $ 69,825 a través de un préstamo flash y los cambió todos por el token nativo NFD. Luego, el contrato se usó para crear múltiples contratos de ataque para reclamar recompensas de lanzamiento aéreo repetidamente. Luego, el atacante cambió todas las recompensas de lanzamiento aéreo por wBNB, lo que benefició a 4481 BNB.
De los 4481 BNB, el atacante devolvió el préstamo prestado de 250 BNB e intercambió 2000 BNB por 550 000 BSC-USD, el token Binance-Peg de la cadena de bloques. Más tarde, el atacante movió 400 BNB al popular servicio mezclador de monedas Tornado Cash.
Joe Green, analista de OSINT y Blockchain en Certik, le dijo a Cointelegraph que la vulnerabilidad radica en un contrato gratificante no verificado implementado por el proyecto New Free DAO. Sin embargo, “debido a que el contrato de recompensa no está verificado, no conocemos la causa raíz”.
CertiK también notificó que el hacker detrás del ataque de préstamo flash en NFD estaba relacionado con aquellos que explotado Neorder (N3DR) en mayo a principios de este año. Más tarde, otra firma de seguridad de blockchain, Beosin, le dijo a Cointelegraph que los atacantes detrás de ambos exploits podrían ser los mismos. Certik confirmó lo mismo y dijo:
“Los fondos robados del ataque $N3DR se enviaron a EOA 0x22C9… que es la misma billetera que recibió los fondos robados de este ataque”.
Relacionado: NIRV, moneda estable basada en Solana, cae un 85 % luego de un exploit de USD 3,5 millones
Beosin también destacó otra vulnerabilidad con el protocolo NFD que podría usarse para otro tipo de ataque de préstamo rápido. La firma de seguridad dijo que el precio podría manipularse ya que se calculan “usando el saldo de USDT en el par, por lo que puede conducir a un ataque de préstamo rápido si se explota”.
3/ Aunque no tiene relación con este ataque, también encontramos otra vulnerabilidad en el $NFD contrato que puede conducir a la manipulación de precios. pic.twitter.com/kKvx4hRdE4
— Alerta Beosin (@BeosinAlert) 8 de septiembre de 2022
Los ataques de préstamos rápidos han sido cada vez más populares entre los piratas informáticos debido a los factores de bajo riesgo, bajo costo y alta recompensa. El miércoles, el protocolo de préstamos basado en Avalanche, Nereus Finance, fue víctima de un astuto ataque de préstamos rápidos que resultó en una pérdida de $ 371,000 en USD Coin (USDC). A principios de junio, Inverse Finance perdió 1,2 millones de dólares en otro ataque de préstamo relámpago.