<?php wp_title('|', true, 'right'); ?>

ราคาเหรียญ ‘NFD’ ของโปรโตคอล DeFi “Free DAO” ร่วงกว่า 99% หลังจากถูกโจมตีแบบ Flash Loan

ติดตามสยามบล็อกเชนบนSiam Blockchain

เมื่อวันพฤหัสบดีที่ผ่านมาทาง Free DAO ซึ่งเป็นโปรโตคอลทางด้านการเงินแบบกระจายศูนย์ ( DeFi) พบว่า ถูกโจมตีแบบ flash loan จนส่งผลให้สูญเงินราว ๆ 1.25 ล้านดอลลาร์ และราคาของโทเค็นดั้งเดิมก็ร่วงแรงถึง 99% หลังจากการโจมตีเสร็จสิ้น

ปกติแล้วโปรโตคอล DeFi หลายโปรโตคอลตัวจะมีควาแตกต่างจากเงินกู้แบบดั้งเดิม โดยที่โปรโตตอล Defi นั้นจะอนุญาตให้ผู้ใช้ยืมสินทรัพย์จำนวนมากโดยไม่ต้องวางหลักประกันล่วงหน้า แต่มีเงื่อนไขเดียวก็คือต้องคืนเงินกู้ในธุรกรรมเดียว และต้องคืนภายในระยะเวลาที่กำหนด 

อย่างไรก็ตาม ฟีเจอร์ดังกล่าวนี้มักถูกใช้โดยผู้เล่นที่ไม่หวังดี ที่ต้องการรวบรวมสินทรัพย์จำนวนมาก เพื่อใช้สิ่งนี้เป็นช่องโหว่ในการหาผลประโยชน์ เช่น บั้คที่เกิดขึ้นช่องโหว่ของสัญญา Smart Contract , กิจกรรม Airdrop หรือการ Stake เพื่อรับผลตอบแทน

ทั้งนี้บริษัทรักษาความปลอดภัยด้านบล็อคเชน CertiK ได้ออกมาแจ้งเตือนชุมชนคริปโตเมื่อวันพฤหัสบดี เกี่ยวกับราคาของเหรียญ NFD ที่ร่วงดิ่งลงมากถึง 99% อันเป็นผลมาจากข่าวการถูกโจมตีแบบ flash loan ซึ่งมีรายงานว่า ผู้โจมตีได้ใช้สัญญาที่ไม่ได้รับการ approved และเรียกใช้งานฟังก์ชัน “addMember()” เพื่อเพิ่มตัวเองเป็นสมาชิก และต่อมาผู้โจมตีได้ดำเนินการโจมตีแบบ flash loan ถึง 3 ครั้ง  

ผู้โจมตีรายนี้ได้กู้ยืม 250 Wrapped BNB (wBNB) มูลค่า 69,825 ดอลลาร์ผ่าน flash loan และเปลี่ยนเหรียญทั้งหมดไปเป็นโทเค็น NFD สัญญานี้ถูกใช้เพื่อสร้างสัญญาการโจมตีอีกหลายรายการเพื่อเคลมเหรียญ airdrop ซ้ำแล้วซ้ำอีก จากนั้นผู้โจมตีแปลงเหรียญ airdrop ทั้งหมดไปเป็น wBNB จำนวน  4481 BNB

และต่อมาผู้โจมตีก็ได้นำคืนเงินกู้ที่ยืมมาจำนวน 250 BNB และแลก 2,000 BNB เป็น 550,000 BSC-USD ซึ่งเป็นโทเค็น Binance-Peg ของบล็อคเชน ก่อนที่จะโอนย้ายเหรียญ จำนวน 400 BNB ไปยังบริการ crypro mixer อย่าง Tornado Cash

Hugh Brooks ผู้อำนวยการฝ่ายปฏิบัติการด้านความปลอดภัย กล่าวว่า ช่องโหว่ดังกล่าวอยู่ในสัญญาที่ให้ผลตอบแทน แบบไม่ได้รับ approved ซึ่งถูกปรับใช้โดยโครงการ New Free DAO 

CertiK ยังแจ้งด้วยว่าแฮ็กเกอร์ที่อยู่เบื้องหลังการโจมตี Flash Loan บน NFD นั้นเกี่ยวข้องกับผู้ที่ใช้ช่องโหว่จาก Neorder (N3DR) ในเดือนพฤษภาคมของปีนี้ ต่อมา Beosin บริษัทรักษาความปลอดภัยบล็อคเชนอีกรายหนึ่งกล่าวว่า ผู้โจมตีที่อยู่เบื้องหลังการเจาะระบบทั้งสอง อาจเป็นคน ๆ เดียวกัน ด้าน Certik ยืนยันเช่นเดียวกันว่า

“เงินที่ถูกขโมยจากการโจมตี N3DR ถูกส่งไปยังเลขกระเป๋า EOA 0x22C9… ซึ่งเป็นกระเป๋าเงินหมายเลขเดียวกันกับที่ได้รับเงินที่ถูกขโมยจากการโจมตีครั้งนี้”

การโจมตีด้วย flash loan กำลังได้รับความนิยมเพิ่มขึ้นในหมู่แฮกเกอร์ เนื่องจากปัจจัยด้านความเสี่ยงที่ต่ำ ต้นทุนต่ำ และผลตอบแทนสูง โดยเมื่อวันพุธที่ผ่านมา โปรโตคอลการให้กู้ยืมแบบที่รันบนเครือข่าย Avalanche อย่าง Nereus Finance ก็เพิ่งตกเป็นเหยื่อของการโจมตีด้วย flash loan ด้วยเช่นเดียวกัน จึงส่งผลให้สูญเสียเงินไปราว ๆ 371,000 ดอลลาร์ในเหรียญ USD Coin ส่วนเมื่อช่วงต้นเดือนมิถุนายนที่ผ่านมา Inverse Finance เองก็เพิ่งสูญเสียเงินจำนวน 1.2 ล้านดอลลาร์ในการโดนโจมตีแบบ flash loan เป็นรอบที่สอง

ที่มา : cointelegraph