Dự án Defi New Free DAO sụp đổ, token NFD mất 99% giá trị

Nội dung chính:

• Dự án DeFi – New Free DAO – bị tấn công Flash Loan, hơn 1,25 triệu USD “bay màu”.
• Tin tặc đã đổi BNB lấy BSC-USD.
• Các cuộc tấn công Flash Loan vẫn tiếp tục là một phương thức tấn công phổ biến của những kẻ xấu.

Không giống như các khoản vay thông thường, một số giao thức DeFi cung cấp các khoản vay nhanh (flash loan) cho phép người dùng vay một lượng lớn tài sản mà không cần trả đặt cọc.

Điều kiện duy nhất là khoản vay phải được hoàn trả trong một giao dịch duy nhất và trong khoảng thời gian nhất định. Tuy nhiên, tính năng này thường bị những kẻ xấu lợi dụng để đánh cắp lượng lớn tài sản, gây thiệt hại cho giao thức và người dùng.

Mới đây, công ty bảo mật Blockchain PeckShield cảnh báo cộng đồng tiền điện tử rằng, dự án New Free DAO trở thành nạn nhân của cuộc tấn công Flash Loan, khiến token NFD giảm hơn 99% giá trị. Tổng thiệt hại lên đến 1,25 triệu USD.

#PeckShieldAlert #slippage PeckShield has detected that $NFD has dropped -99% probably falls victim to a flashloan-assisted attackhttps://t.co/hS3HUTx6a0
The exploiter grabbed ~4,500 $BNB (~$1.25M) and has swapped ~2,000 $BNB to ~550k $BSC-USD pic.twitter.com/5k11RLJuCQ

— PeckShieldAlert (@PeckShieldAlert) September 8, 2022

Được biết, tin tặc đã triển khai một hợp đồng chưa được xác minh, sau đó thực hiện 3 cuộc tấn công flash loan. Cụ thể, tin tặc vay 250 Wrapped BNB (wBNB) trị giá 69.825 USD thông qua khoản vay nhanh và đổi tất cả chúng lấy NFD. Sau đó, sử dụng hợp đồng chưa được xác minh để tạo nhiều hợp đồng tấn công nhằm nhận phần thưởng airdrop nhiều lần.

Tiếp đến, kẻ tấn công đổi tất cả phần thưởng airdrop thành wBNB và thu về tổng cộng 4.481 BNB.Trong số 4.481 BNB, kẻ tấn công đã trả lại khoản vay 250 wBNB đã vay ban đầu và đổi 2.000 BNB lấy 550.000 BSC-USD. Sau đó, chuyển 400 BNB sang Tornado Cash để xóa dấu vết giao dịch.

Giá NFD giảm 99%: Nguồn: DEXCreener 

Tuy nhiên, New Free DAO có vẻ không phải là một dự án có danh tiếng nổi bật trong thị trường tiền điện tử. Có rất ít thông tin về nó, cho đến khi vụ tấn công trên diễn ra.

* Flash Loan Attacks là những cuộc tấn công lợi dụng hình thức cho vay nhanh và những lỗ hổng trong giao thức để trục lợi cho cá nhân. Đây là một phương thức tấn công phổ biến trong không gian DeFi và một số dự án đã là nạn nhân của cuộc tấn công này. Về cơ bản, chúng hoạt động bằng cách thao túng giá sau khi kẻ tấn công thực hiện một khoản vay phi tập trung. Chúng tương đối dễ thực hiện hơn, do đó chúng trở nên phổ biến.

Các cuộc tấn công Flash Loan ngày càng phổ biến

Trước đó, giao thức cho vay dựa trên Avalanche, Nereus Finance, cũng trở thành nạn nhân của một cuộc tấn công flash loan, khiến 371,000 USDC “bốc hơi”. Đầu tháng 6, Inverse Finance mất 1,2 triệu USD trong một cuộc tấn công flash loan với kịch bản tương tự.

#CertiKSkynetAlert🚨

CertiK Skynet has reported a #flashloan attack on #AVAX impacting contract 0xe767c... & some LPs. The attacker profited ~$370k USDC.

Possible impacted protocols include:@nereusfinance @traderjoe_xyz @CurveFinance
Contact us for analysis.

Stay Frosty!☃️ pic.twitter.com/bZvtgVPpl4

— CertiK Alert (@CertiKAlert) September 7, 2022

Năm ngoái, Cream Finance cũng bị tin tặc nhắm trúng và “ghé thăm” 3 lần. Trong đó, lần thứ ba bị đánh cắp 130 triệu USD. PancakeBunny đã mất 200 triệu USD trong một vụ tấn công Flash Loan.  

Do đó, các dự án đã đặt việc bảo mật giao thức lên làm ưu tiên hàng đầu. Tuy nhiên, các cuộc tấn công Flash Loan có vẻ như vẫn sẽ tiếp tục xảy ra.

Bảo mật là ưu tiên hàng đầu

Thị trường DeFi luôn là miếng mồi ngon cho những kẻ tấn công, vì defi có một lượng vốn lớn. Ngoài ra, các dự án và giao thức mới với bảo mật thấp là những mục tiêu phổ biến của những kẻ tấn công này.

Trong 18 tháng qua, nhiều dự án lớn đã tăng gấp đôi sự tập trung vào bảo mật, vì những cuộc tấn công này có thể gây ra các tác động theo tầng.

Theo báo cáo vào tháng 1/2022, có 44 cuộc tấn công trong năm 2021.

VIC Crypto tổng hợp

Tin tức liên quan:

BendDAO mất khả năng thanh toán, nhà đầu tư tháo chạy

Tại sao LidoDAO lại từ chối bán 10 triệu mã token LDO cho Dragonfly Capital?

Vụ trộm lịch sử gây rúng động thị trường mã hóa: Hơn 580.000 Bitcoin "không cánh mà bay"