New Free DAO đã phải đối mặt với một loạt các cuộc tấn công cho vay nhanh (flash loan) vào thứ Năm, dẫn đến khoản thiệt hại 1.25 triệu USD. Giá của token gốc NFD đã giảm 99% sau cuộc tấn công.
Không giống như các khoản vay thông thường, một số giao thức DeFi cung cấp các khoản vay nhanh cho phép người dùng vay một lượng lớn tài sản mà không cần trả trước tiền đặt cọc. Điều kiện duy nhất là khoản vay phải được hoàn trả trong một giao dịch duy nhất và trong một khoảng thời gian nhất định. Tuy nhiên, tính năng này thường bị những kẻ thù xấu lợi dụng để đánh cắp một lượng lớn tài sản, gây thiệt hại cho giao thức và người dùng.
Công ty bảo mật chuỗi khối CertiK đã cảnh báo cộng đồng tiền điện tử vào thứ Năm về sự trượt giá 99% của token NFD (token gốc của New Free DAO) do một cuộc tấn công flash loan gây ra. Kẻ tấn công được cho là đã triển khai một hợp đồng chưa được xác minh và gọi hàm “addMember ()” để thêm chính nó làm thành viên. Kẻ tấn công sau đó đã thực hiện 3 cuộc tấn công flash loan với sự hỗ trợ của hợp đồng chưa được xác minh này. Cụ thể
- Đầu tiên kẻ tấn công đã vay 250 Wrapped BNB (wBNB) trị giá 69,825 USD thông qua khoản vay nhanh và đổi tất cả chúng lấy NFD.
- Sau đó, hợp đồng được sử dụng để tạo nhiều hợp đồng tấn công để nhận phần thưởng airdrop nhiều lần.
- Tiếp đến, kẻ tấn công đã đổi tất cả phần thưởng airdrop thành wBNB và thu về tổng cộng 4,481 BNB.
- Trong số 4,481 BNB, kẻ tấn công đã trả lại khoản vay 250 wBNB đã vay ban đầu và đổi 2,000 BNB lấy 550,000 BSC-USD. Sau đó, kẻ tấn công đã chuyển 400 BNB sang Tornado Cash để xóa dấu vết giao dịch.
CertiK cũng thông báo rằng hacker đứng sau vụ tấn công flash loan vào New Free DAO có liên quan đến những kẻ đã khai thác Neorder (N3DR) vào tháng 5 đầu năm nay. Sau đó, một công ty bảo mật blockchain khác là Beosin đã cho biết những kẻ tấn công đằng sau cả hai vụ khai thác có thể giống nhau. Beosin cũng nêu bật một lỗ hổng khác với giao thức New Free DAO có thể được sử dụng thêm cho một kiểu tấn công flash loan khác. Công ty bảo mật nói rằng giá có thể bị thao túng vì lỗi này,
Có vẻ như các cuộc tấn công flash loan ngày càng phổ biến hiện nay. Như trước đó Fiahub đã từng đưa tin, vào thứ Tư, giao thức cho vay dựa trên Avalanche, Nereus Finance, đã trở thành nạn nhân của một cuộc tấn công flash loan dẫn đến mất 371,000 USDC. Đầu tháng 6, Inverse Finance đã mất 1.2 triệu USD trong một cuộc tấn công flash loan với kịch bản tương tự.
Linh Bùi là một nhà sáng tạo nội dung, chuyên gia nghiên cứu trong lĩnh vực tài chính nói chung và tiền điện tử nói riêng. Với mong muốn chia sẻ các tuyến bài viết chuyên về kiến thức, cập nhật tin tức về thị trường tài chính tại Việt Nam và trên toàn cầu, Linh Bùi đã và đang tham gia với vai trò biên tập viên/người sáng tạo nội dung tại một số nền tảng, sàn giao dịch như Fiahub, BeInCrypto, Mitrade, Finixio, Dr.Localize… Trong mỗi bài viết của mình, Linh Bùi đều mong muốn đơn giản hóa các khái niệm tài chính liên quan, giảm thiểu rào cản gia nhập cho độc giả, đặc biệt là những người mới tham gia.
