وام های فلش به کاربران اجازه می دهد تا مقادیر زیادی از دارایی ها را بدون ارائه وثیقه اولیه قرض کنند. این اغلب توسط بازیگران بد برای حمله به پروتکل های DeFi استفاده می شود.
New Free DAO، یک پروتکل مالی غیرمتمرکز (DeFi)، در 8 سپتامبر با یک سری حملات وام فلش مواجه شد که گزارش از زیان 1.25 میلیون دلاری را گزارش کرد. قیمت توکن بومی پس از حمله 99 درصد کاهش یافت.
برخلاف وامهای معمولی، چندین پروتکل DeFi وامهای فلش ارائه میدهند که به کاربران اجازه میدهد مقادیر زیادی از داراییها را بدون سپردههای وثیقه اولیه قرض کنند. تنها شرط این است که وام باید در یک معامله در مدت تعیین شده بازپرداخت شود. با این حال، این ویژگی اغلب توسط عوامل مخرب برای جمع آوری مقادیر زیادی از دارایی ها و راه اندازی سوء استفاده های پرهزینه با هدف قرار دادن پروتکل های DeFi مورد سوء استفاده قرار می گیرد.
شرکت امنیتی بلاک چین Certik روز پنجشنبه به جامعه ارزهای دیجیتال در مورد کاهش 99 درصدی قیمت توکن NFD خود به دلیل حمله وام فلش هشدار داد. گزارش شده است که مهاجمان یک قرارداد تایید نشده مستقر کرده و تابع “addMember()” را برای اضافه کردن خود به عنوان عضو نامیده اند. سپس مهاجمان از قراردادهای تایید نشده برای اجرای سه حمله وام فلش استفاده کردند.
دائو رایگان جدید – $NFD این حمله توسط یک حمله وام فلش مورد سوء استفاده قرار گرفت که مهاجم 4481 WBNB (تقریباً 1.25 میلیون دلار) را به دست آورد و باعث شد قیمت توکن تا 99٪ کاهش یابد.
مهاجمان در حال اتصال به Neorder هستند، یک حمله چهار ماهه $N3DR که در آن زمان 930 BNB را سرقت کرد. pic.twitter.com/5Rcht3YiIK
– هشدار CertiK (@CertiKAlert) 8 سپتامبر 2022
مهاجمان ابتدا 250 WBNB به ارزش 69825 دلار را در یک وام فوری قرض کردند و همه آن را با توکن بومی NFD مبادله کردند. سپس از این قرارداد برای ایجاد قراردادهای حمله چندگانه برای درخواست مکرر جوایز ایردراپ استفاده شد. مهاجمان سپس تمام جوایز airdrop را با WBNB مبادله کردند و در نتیجه سودی معادل 4481 BNB به دست آوردند.
از 4481 BNB، مهاجمان وام قرضی (250 BNB) را پس دادند و 2000 BNB را با 550000 BSC-USD مبادله کردند. مهاجمان سپس 400 BNB را به Tornado Cash، یک سرویس مخلوط کن سکه محبوب انتقال دادند.
Certik همچنین به ما اطلاع داد که هکرهای پشت حمله وام فلش علیه NFD با کسانی مرتبط هستند که در ماه می سال جاری از Neorder (N3DR) سوء استفاده کردند. یکی دیگر از شرکتهای امنیتی بلاک چین، Beosin، بعداً به Cointelegraph گفت که مهاجم پشت هر دو سوء استفاده ممکن است یکسان باشد.
مربوط: استیبل کوین NIRV مبتنی بر Solana با 3.5 میلیون دلار اکسپلویت 85 درصد کاهش یافت
Beosin همچنین آسیبپذیری دیگری را در پروتکل NFD برجسته کرد که میتوان از آن برای نوع دیگری از حملات وام فلش استفاده کرد. این شرکت امنیتی گفت: “از آنجایی که با استفاده از موجودی USDT جفت محاسبه می شود، قیمت را می توان دستکاری کرد، که در صورت سوء استفاده می تواند منجر به حملات وام فوری شود.”
3/ همچنین آسیب پذیری دیگری پیدا کردم که به این حمله مربوط نمی شود. $NFD قراردادهایی که ممکن است منجر به دستکاری قیمت شود. pic.twitter.com/kKvx4hRdE4
— Beosin Alert (@BeosinAlert) 8 سپتامبر 2022
حملات وام فلش به دلیل ریسک پایین، هزینه کم و پاداش بالا در بین هکرها محبوب شده است. در 7 سپتامبر، Nereus Finance، یک پروتکل وام دهی مبتنی بر بهمن، قربانی یک حمله وام فلش پیچیده شد که منجر به ضرر 371000 دلاری USDC شد. در اوایل ژوئن، اینورس فاینانس ۱.۲ میلیون دلار در یک حمله وام فوری دیگر از دست داد.
نویسنده: Prashant Jha
