8 сентября злоумышленники атаковали децентрализованный финансовый (DeFi) протокол New Free DAO, лишив платформу через флэш-кредиты 1,25 млн долларов (4481 WBNB). Цена токена New Free упала на 99% после взлома.
Как объяснили в компании Certik, злоумышленник развернул непроверенный контракт и активировал функцию "addMember()", чтобы добавить себя в качестве участника.
Сначала хакер взял флэш-кредит в размере 250 WBNB (69 825 долларов) и обменял все монеты на нативный токен NFD. Затем этот контракт был использован для создания нескольких атакующих контрактов для получения airdrop-вознаграждений. Далее злоумышленник обменял все airdrop-вознаграждения на WBNB, получив 4481 BNB.
Из 4481 BNB злоумышленник вернул взятый кредит (250 BNB) и обменял 2 000 BNB на 550 000 BSC-USD. Позже злоумышленник перевел 400 BNB на сервис Tornado Cash.
Движение средств из кошелька хакера в Tornado Cash Источник: BSC Scan
В Certik также сообщили, что хакер, стоящий за атакой на NFD, связан с теми, кто использовал Neorder (N3DR) для незаконного вывода средств в мае этого года. Другая фирма Beosin, занимающаяся безопасностью блокчейна, сообщила Cointelegraph, что за обоими эксплойтами могут стоять одни и те же люди.
Накануне DeFi-платформа Nereus Finance на базе Avalanche подверглась арбитражной атаке через флэш-кредит на 51 млн USDC.