El protocolo de finanzas descentralizadas (DeFi) Dough Finance perdió 1,8 millones de dólares en activos digitales después de un ataque de préstamo rápido al protocolo. 

El 12 de julio, la empresa de seguridad Web3 Cyvers señaló que había detectado múltiples transacciones sospechosas. La empresa se comunicó con el protocolo de préstamos Aave para comprobar si los pools estaban afectados. Sin embargo, la empresa de seguridad confirmó que las piscinas dentro de Aave eran seguras.

A pesar de esto, Dough Finance sufrió la peor parte del ataque. Según Cyvers, el atacante fue financiado a través del protocolo Railgun de conocimiento cero (ZK) e intercambió la moneda USD (USDC) robada por Ether (ETH). El atacante obtuvo un total de 608 ETH, por un valor aproximado de 1,8 millones de dólares.

Hacker manipula contrato inteligente

El proveedor de seguridad Web3, Olympix, destacó que el exploit se debió a datos de llamadas no validados dentro del contrato "ConnectorDeleverageParaswap". La firma explicó:

"El contrato no verificó adecuadamente los datos que recibió durante las llamadas de préstamos rápidos, lo que permitió al atacante manipularlos para su beneficio".

Gracias a esto, el atacante pudo manipular los datos y robar los fondos.

Olympix dijo que aquellos que depositaron fondos en el contrato explotado del protocolo DeFi podrían verse afectados. Sin embargo, el proveedor de seguridad señaló que el ataque no afectó a los grupos de Aave.

El proveedor de seguridad también recomendó a los usuarios de Dough Finance que consideren retirar sus fondos a una billetera segura. Además, instaron a los usuarios a monitorear los anuncios del equipo de Dough Finance y evitar interactuar con el protocolo hasta que se resuelva la situación.

Relacionado: El hacker de Pancake Bunny extrae 2,9 millones de dólares de Ether a través de Tornado Cash

Más de mil millones de dólares perdidos por incidentes de seguridad en 2024

Si bien las pérdidas por el hackeo de Dough Finance solo ascendieron a casi $2 millones, el resto del espacio criptográfico ya había perdido más de $1 mil millones en activos digitales debido a varios incidentes dentro del espacio.

El 3 de julio, la empresa de seguridad blockchain CertiK publicó su informe de seguridad, destacando que las pérdidas por incidentes en cadena ya alcanzaron los 1.190 millones de dólares en el primer semestre de 2024. La mayoría de las pérdidas se atribuyeron a ataques de phishing y compromisos de claves privadas.

Según CertiK, el espacio perdió casi 500 millones de dólares debido a ataques de phishing, mientras que los compromisos de claves privadas resultaron en pérdidas de casi 409 millones de dólares.

El cofundador de CertiK, Ronghui Gu, destacó la urgente necesidad de implementar métodos de autenticación multifactor, como la autenticación de dos factores (2FA) y claves de seguridad.

Revista: Se revela el exploit favorito de Lazarus Group: análisis de hacks de criptomonedas