• Otro protocolo DeFi, Dough Finance, fue víctima de un exploit el viernes por la mañana, perdiendo 1,96 millones de dólares en fondos de usuarios. 

Dough Finance, un protocolo de código abierto para crear mercados de liquidez sin custodia, sufrió un ataque de préstamo rápido que se llevó 1,96 millones de dólares en fondos de los usuarios. El equipo del proyecto anunció que están trabajando para resolver la situación lo antes posible.

El protocolo Dough Finance pierde 1,96 millones de dólares

El 12 de julio, se publicaron informes en línea sobre la actividad de Dough Finance. La plataforma de seguridad blockchain Web3, Cyvers, nos informó que había detectado múltiples transacciones sospechosas relacionadas con el protocolo DeFi.

Según el informe, el hacker manipuló el contrato inteligente de Dough Finance y robó 1,8 millones de dólares en USDC. El atacante, financiado a través del protocolo de conocimiento cero (ZK) Railgun, intercambió los fondos malversados ​​por Ethereum (ETH), obteniendo inicialmente 608 ETH.

Olympix, un proveedor de seguridad Web3, reveló que el exploit se produjo debido a "datos de llamada dentro del contrato ConnectorDeleverageParaswap". Aparentemente, el contrato no verificó adecuadamente los datos de las llamadas de préstamos flash.

Los datos de llamada no validados permitieron al explotador manipular los datos del contrato y enviar los fondos a una cuenta de propiedad externa (EAO). Tras los informes iniciales, se produjo una segunda tanda de ataques.

Alerta de explotación

¡Dough Finance ha sido explotado por alrededor de 1,8 millones de dólares! Los fondos robados se encuentran actualmente en cuentas de propiedad externa.

Consulte el flujo del fondo aquí: https://t.co/OvOJ79YEe#CryptoInvestigation#CryptoSecurity pic.twitter.com/gqib5jCxt3

– Breadcrumbs.app (@AppBreadcrumbs) 12 de julio de 2024

Estos ataques resultaron en la pérdida de otros 141.000 dólares en USDC, lo que elevó el robo criptográfico total a 1,96 millones de dólares. No obstante, Cyvers confirmó que los fondos del protocolo de préstamos Aave no se vieron afectados.

Los estafadores apuntan a proyectos DeFi

Después de los informes iniciales, el protocolo DeFi reconoció el ataque e instó a los usuarios a retirar los fondos restantes del protocolo. Más tarde, Dough Finance anunció que había identificado y cerrado el exploit.

El proyecto confirmó que “algunas de las primeras cuentas inteligentes de Dough DeFi (DSA)” fueron víctimas de un exploit sofisticado. Además, la publicación aseguró que el equipo de Dough Finance está trabajando activamente para abordar el incidente, recuperar los fondos y compensar a los inversores.

Los informes en línea revelaron que el equipo se acercó al explotador. En un mensaje en cadena, el protocolo Defi informó al explotador que se había puesto en contacto con las autoridades correspondientes.

Dough Finance intenta ponerse en contacto con el hacker. pic.twitter.com/SjMpdgp6cc

– Evgenii (@CryptoEvgen) 12 de julio de 2024

El equipo también se ofreció a discutir una recompensa si el atacante había "explotado esta vulnerabilidad como un sombrero blanco o gris", y adjuntó la dirección donde los fondos deberían transferirse directamente.

El explotador tiene hasta el lunes 15 de julio de 2024 a las 23:00 UTC para contactar con el protocolo DeFi. Según el mensaje, si el equipo no recibe una respuesta, "asumirán que usted se apropió de los fondos con intenciones ilegales y buscará todas las vías penales, legales y administrativas disponibles" para recuperar los fondos malversados.

Los estafadores se han dirigido fuertemente al sector. Esta semana, varios proyectos DeFi, incluido Compound Finance, se vieron comprometidos en un ataque de phishing. 

Al parecer, los proyectos fueron víctimas de un ataque de dominio DNS que redirigía a los usuarios a un sitio web falso.

El sitio web de copia era una herramienta agotadora que podía agotar los fondos de los usuarios si interactuaban con él. Como resultado, los equipos de los proyectos instaron a los clientes a no interactuar con los sitios web hasta nuevo aviso.