DeFi Protocol Dough Finance Exploit Swipes $1.96 Million in User Funds

Bitcoinworld · 2024-07-14T06:03:05.000Z

Another DeFi protocol, Dough Finance, fell victim to an exploit on Friday morning, losing $1.96 Million in user funds. Dough Finance, an open-source protocol to create non-custodial liquidity markets, suffered a flash loan attack that took $1.96 Million in user funds. The project’s team announced they are working to resolve the situation promptly. Dough Finance Protocol Loses $1.96 Million On July 12, online reports concerning activity from Dough Finance were called out. Web3 blockchain security platform Cyvers informed us that it had detected multiple suspicious transactions involving the DeFi protocol. Per the report, the hacker manipulated Dough Finance’s smart contract and stole $1.8 million in USDC. The attacker, funded through the zero-knowledge (ZK) protocol Railgun, swapped the misappropriated funds to Ethereum (ETH), initially obtaining 608 ETH. Olympix, a Web3 security provider, revealed that the exploit occurred due to “calldata within the ConnectorDeleverageParaswap contract.” Seemingly, the contract didn’t properly check the flash loan calls data. The unvalidated calldata allowed the exploiter to manipulate the contract’s data and send the funds to an Externally Owned Account (EAO). Following the initial reports, a second batch of attacks occurred. Exploit Alert Dough Finance has been exploited for around $1.8M! The stolen funds are currently held in the externally owned accounts. Check out the fund’s flow here: https://t.co/OvOJ79YEeV#CryptoInvestigation #CryptoSecurity pic.twitter.com/gqib5jCxt3 — Breadcrumbs.app (@AppBreadcrumbs) July 12, 2024 These attacks resulted in the loss of another $141,000 in USDC, raising the total crypto heist to $1.96 million. Nonetheless, Cyvers confirmed that lending protocol Aave’s pools remained unaffected. Scammers Target DeFi Projects After the initial reports, the DeFi protocol acknowledged the attack and urged users to withdraw their remaining funds from the protocol. Later, Dough Finance announced it had identified and closed the exploit. The project confirmed that “a few early Dough DeFi Smart Accounts (DSAs)” were victim to a sophisticated exploit. Moreover, the post assured that Dough Finance’s team is actively working to address the incident, recover the funds, and make investors whole. Online reports revealed that the team reached out to the exploiter. In an on-chain message, the Defi protocol informed the exploiter it had contacted the appropriate authorities. Dough Finance tries to contact the hacker. pic.twitter.com/SjMpdgp6cc — Evgenii (@CryptoEvgen) July 12, 2024 The team also offered to discuss a bounty if the attacker had “exploited this vulnerability as a white or grey hat,” and attached the address where the funds should be directly transferred. The exploiter has until Monday, July 15, 2024, at 23:00 UTC to contact the DeFi protocol. Per the message, if the team doesn’t receive an answer, they will “assume you appropriated the funds with unlawful intent and will pursue all criminal, legal, and administrative avenues available” to recover the misappropriated funds. Scammers have heavily targeted the sector. This week, various DeFi projects, including Compound Finance, were compromised in a phishing attack. Seemingly, the projects were victims of a DNS domain attack that redirected users to a fake website. The copy website was a drainer tool that could drain users’ funds if they interacted with it. As a result, the projects’ teams urged customers not to interact with the websites until further notice.

Ein weiteres DeFi-Protokoll, Dough Finance, fiel am Freitagmorgen einem Exploit zum Opfer und verlor 1,96 Millionen US-Dollar an Benutzergeldern.
Dough Finance, ein Open-Source-Protokoll zur Schaffung nicht-treuhänderischer Liquiditätsmärkte, wurde Opfer eines Blitzkreditangriffs, bei dem 1,96 Millionen US-Dollar an Benutzergeldern verloren gingen. Das Projektteam gab bekannt, dass es an einer schnellen Lösung der Situation arbeite.
Dough Finance Protocol verliert 1,96 Millionen Dollar
Am 12. Juli wurden Online-Berichte über Aktivitäten von Dough Finance veröffentlicht. Die Web3-Blockchain-Sicherheitsplattform Cyvers teilte uns mit, dass sie mehrere verdächtige Transaktionen im Zusammenhang mit dem DeFi-Protokoll entdeckt habe.
Dem Bericht zufolge manipulierte der Hacker den Smart Contract von Dough Finance und stahl 1,8 Millionen USDC. Der Angreifer, der sich über das Zero-Knowledge-Protokoll (ZK) Railgun finanzierte, tauschte die unterschlagenen Gelder in Ethereum (ETH) um und erhielt zunächst 608 ETH.
Olympix, ein Web3-Sicherheitsanbieter, gab bekannt, dass der Exploit aufgrund von „Anrufdaten innerhalb des ConnectorDeleverageParaswap-Vertrags“ erfolgte. Offenbar überprüfte der Vertrag die Daten zu Flash-Kreditanrufen nicht richtig.
Die nicht validierten Anrufdaten ermöglichten es dem Angreifer, die Daten des Vertrags zu manipulieren und die Gelder auf ein Externally Owned Account (EAO) zu überweisen. Nach den ersten Berichten kam es zu einer zweiten Angriffswelle.
Exploit-Warnung
Über Dough Finance wurden rund 1,8 Millionen US-Dollar erbeutet! Die gestohlenen Gelder befinden sich derzeit auf externen Konten.
Sehen Sie sich hier den Fondsfluss an: https://t.co/OvOJ79YEe#CryptoInvestigation#CryptoSecurity pic.twitter.com/gqib5jCxt3
— Breadcrumbs.app (@AppBreadcrumbs), 12. Juli 2024
Diese Angriffe führten zum Verlust von weiteren 141.000 USD in USDC, wodurch sich der Gesamtbetrag des Kryptoraubs auf 1,96 Millionen USD erhöhte. Cyvers bestätigte jedoch, dass die Pools des Kreditprotokolls Aave nicht betroffen blieben.
Betrüger zielen auf DeFi-Projekte ab
Nach den ersten Berichten bestätigte das DeFi-Protokoll den Angriff und forderte die Benutzer auf, ihre verbleibenden Gelder aus dem Protokoll abzuheben. Später gab Dough Finance bekannt, dass es den Exploit identifiziert und geschlossen habe.
Das Projekt bestätigte, dass „einige frühe Dough DeFi Smart Accounts (DSAs)“ Opfer eines ausgeklügelten Exploits wurden. Darüber hinaus versicherte der Beitrag, dass das Team von Dough Finance aktiv daran arbeitet, den Vorfall zu beheben, die Gelder zurückzuerhalten und die Anleger zu entschädigen.
Online-Berichte zeigten, dass das Team Kontakt zum Exploiter aufgenommen hatte. In einer On-Chain-Nachricht informierte das Defi-Protokoll den Exploiter, dass es die zuständigen Behörden kontaktiert habe.
Dough Finance versucht, den Hacker zu kontaktieren. pic.twitter.com/SjMpdgp6cc
– Evgenii (@CryptoEvgen), 12. Juli 2024
Das Team bot außerdem an, über eine Belohnung zu sprechen, wenn der Angreifer „diese Schwachstelle als White Hat oder Grey Hat ausgenutzt“ hätte, und fügte die Adresse bei, an die die Gelder direkt überwiesen werden sollten.
Der Exploiter hat bis Montag, 15. Juli 2024, 23:00 UTC Zeit, das DeFi-Protokoll zu kontaktieren. Laut der Nachricht wird das Team, wenn es keine Antwort erhält, „davon ausgehen, dass Sie die Gelder in rechtswidriger Absicht angeeignet haben, und alle verfügbaren strafrechtlichen, rechtlichen und verwaltungsrechtlichen Möglichkeiten nutzen“, um die unterschlagenen Gelder zurückzuerhalten.
Betrüger haben den Sektor stark ins Visier genommen. Diese Woche wurden verschiedene DeFi-Projekte, darunter Compound Finance, bei einem Phishing-Angriff kompromittiert.
Offenbar wurden die Projekte Opfer eines DNS-Domänenangriffs, der Benutzer auf eine gefälschte Website umleitete.
Die Kopier-Website war ein Abflussinstrument, das die Gelder der Benutzer aufbrauchen konnte, wenn sie damit interagierten. Daher forderten die Projektteams die Kunden auf, bis auf Weiteres nicht mit den Websites zu interagieren.

Weitere Inhalte des Erstellers entdecken

Aktuelle Nachrichten