New Free DAO — это проект DeFi, работающий на основе Binance Smart Chain (BSC). Как написала в Твиттере компания CertiK, специализирующаяся на кибербезопасности в сфере блокчейна, злоумышленник воспользовался непроверенным смарт-контрактом и применил функцию «addMember()», чтобы добавить себя в качестве участника. Таким способом хакер провел три атаки мгновенного займа.
Сначала он занял 250 WBNB на $69 825 и обменял все средства на токены NFD. Хакер создал еще несколько контрактов, чтобы потребовать вознаграждение от раздачи токенов. Затем обменял полученное вознаграждение на WBNB, в результате получив 4 481 BNB. Из этих средств злоумышленник вернул кредит (250 BNB) и обменял 2 000 BNB на 550 000 BSC-USD. Спустя некоторое время злоумышленник вывел 400 BNB на миксер Tornado Cash.
Специалисты Certik сообщили, что хакер, совершивший атаку на New Free DAO, может иметь отношение к майской атаке на проект Neorder (N3DR). Компания по обеспечению безопасности блокчейнов, Beosin, тоже предположила, что за этими атаками могут стоять одни и те же люди.
Команда Beosin обнаружила еще одну уязвимость в протоколе New Free DAO, которая может использоваться для другого типа атаки с использованием мгновенных кредитов. Речь о манипулировании ценой, поскольку та рассчитывается в паре с использованием баланса стейблкоина USDT.
Подобные атаки становятся все более популярными среди хакеров. Недавно от атаки мгновенного займа пострадал протокол Nereus Finance, работающий на основе блокчейна Avalanche. Проект лишился стейблкоинов USDC на $371 000. В апреле такая же атака была совершена на кредитный сервис Inverse Finance, в результате которой злоумышленники вывели криптоактивы на сумму $15 млн. В июне хакеры повторили атаку и похитили $1.2 млн в BTC и USDT.