La plataforma de finanzas descentralizadas (DeFi) New Free DAO (NFD) se vio expuesta a un ataque de préstamo flash a primera hora del jueves, lo que supuso una pérdida estimada de 1,25 millones de dólares. Tras el hackeo, el token nativo del ecosistema cayó un 99%, según CertiK, una empresa de revisión de contratos inteligentes.
Los préstamos flash ofrecen a los prestatarios la posibilidad de obtener grandes sumas de dinero sin tener que depositar ninguna garantía por adelantado. El único requisito es que el préstamo debe devolverse en una transacción dentro de un plazo predeterminado.Los delincuentes suelen utilizar esta posibilidad para explotar los protocolos DeFi.
New Free Dao – $NFD was exploited via flash loan attack gaining the attacker 4481 WBNB (approx. ~$1.25M) causing the token to slip in price 99%.
The attacker has connections to Neorder – $N3DR attack from 4 months ago where they took 930 BNB at the time. pic.twitter.com/5Rcht3YiIK
— CertiK Alert (@CertiKAlert) September 8, 2022
Sin embargo, el atacante de NFD utilizó el nuevo contrato de ataque para interactuar con el contrato no verificado y recibir recompensas tomando prestado el WBNB a través de un préstamo flash y cambiándolo por tokens de New Free DAO (NFD).
«El atacante repitió el proceso con docenas de contratos recién creados«, según CertiK.
NFD sufrió una serie de ataques
La compañía dijo que el atacante utilizó un contrato no verificado y se agregó como miembro utilizando la función addMember(). El atacante llevó a cabo tres ataques de préstamo flash con la ayuda del contrato
.
Sospechan que el autor está relacionado con el ataque Neorder – $N3DR, ocurrido hace cuatro meses y que supuso la pérdida de 930 BNB en aquel momento.
Los hackers utilizan cada vez más los ataques de préstamos flash debido a sus atributos de bajo riesgo, bajo coste y gran rentabilidad. El ecosistema Solana vio el colapso de un algoritmo stablecoin en un hack de préstamo flash en julio.
Los atacantes robaron 3,5 millones de dólares de Nirvana Finance, haciendo caer el valor de su token Defi-protocolo, ANA, y la stablecoin NIRV en un 90%.
Los atacantes emplearon el mezclador TornadoCash
La compañía de detección dijo que están empezando a observar el depósito de los fondos robados en TornadoCash, un servicio que mezcla otros fondos de criptomonedas con fondos de criptomonedas potencialmente rastreables o comprometidos para ocultar el origen y el destino de los activos digitales.
El Tesoro estadounidense ha incluido recientemente a Tornado Cash en su lista negra porque considera que ha permitido el blanqueo de dinero en criptomonedas a una escala de miles de millones de dólares a través de su plataforma y se ha convertido en la opción a la que recurren los piratas informáticos que tienen como objetivo las plataformas descentralizadas. Según CertiK, hasta ahora se han enviado 400 BNB (unos 111K dólares) al mezclador.
