Protokol DeFi lainnya, Dough Finance, menjadi korban eksploitasi pada Jumat pagi, kehilangan dana pengguna sebesar $1,96 Juta.
Dough Finance, sebuah protokol sumber terbuka untuk menciptakan pasar likuiditas non-penahanan, mengalami serangan pinjaman kilat yang menghabiskan dana pengguna sebesar $1,96 Juta. Tim proyek mengumumkan bahwa mereka berupaya untuk segera menyelesaikan situasi ini.
Protokol Pembiayaan Adonan Kehilangan $1,96 Juta
Pada tanggal 12 Juli, laporan online mengenai aktivitas dari Dough Finance diumumkan. Platform keamanan blockchain Web3, Cyvers, memberi tahu kami bahwa mereka telah mendeteksi beberapa transaksi mencurigakan yang melibatkan protokol DeFi.
Berdasarkan laporan, peretas memanipulasi kontrak pintar Dough Finance dan mencuri $1.8 juta dalam USDC. Penyerang, yang didanai melalui protokol zero-knowledge (ZK) Railgun, menukar dana yang disalahgunakan ke Ethereum (ETH), awalnya memperoleh 608 ETH.
Olympix, penyedia keamanan Web3, mengungkapkan bahwa eksploitasi terjadi karena “data panggilan dalam kontrak ConnectorDeleverageParaswap.” Tampaknya, kontrak tersebut tidak memeriksa data panggilan pinjaman kilat dengan benar.
Data panggilan yang tidak divalidasi memungkinkan pengeksploitasi memanipulasi data kontrak dan mengirim dana ke Rekening Milik Eksternal (EAO). Setelah laporan awal, serangan gelombang kedua terjadi.
Peringatan Eksploitasi
Dough Finance telah dieksploitasi sekitar $1,8 juta! Dana yang dicuri saat ini disimpan di rekening milik eksternal.
Lihat aliran dana di sini: https://t.co/OvOJ79YEe#CryptoInvestigation#CryptoSecurity pic.twitter.com/gqib5jCxt3
— Breadcrumbs.app (@AppBreadcrumbs) 12 Juli 2024
Serangan ini mengakibatkan hilangnya $141,000 lagi dalam USDC, meningkatkan total pencurian kripto menjadi $1.96 juta. Meskipun demikian, Cyvers mengonfirmasi bahwa protokol peminjaman kumpulan Aave tetap tidak terpengaruh.
Penipu Menargetkan Proyek DeFi
Setelah laporan awal, protokol DeFi mengakui serangan tersebut dan mendesak pengguna untuk menarik sisa dana mereka dari protokol. Kemudian, Dough Finance mengumumkan telah mengidentifikasi dan menutup eksploitasi tersebut.
Proyek ini mengonfirmasi bahwa “beberapa Akun Cerdas Dough DeFi (DSA) awal” menjadi korban eksploitasi yang canggih. Selain itu, postingan tersebut meyakinkan bahwa tim Dough Finance secara aktif bekerja untuk mengatasi insiden tersebut, memulihkan dana, dan membuat investor utuh.
Laporan online mengungkapkan bahwa tim tersebut menghubungi pengeksploitasi. Dalam pesan on-chain, protokol Defi memberi tahu pengeksploitasi bahwa mereka telah menghubungi pihak yang berwenang.
Dough Finance mencoba menghubungi peretas. pic.twitter.com/SjMpdgp6cc
— Evgenii (@CryptoEvgen) 12 Juli 2024
Tim juga menawarkan untuk mendiskusikan hadiah jika penyerang “mengeksploitasi kerentanan ini sebagai topi putih atau abu-abu,” dan melampirkan alamat di mana dana tersebut harus ditransfer secara langsung.
Pengeksploitasi memiliki waktu hingga Senin, 15 Juli 2024, pukul 23:00 UTC untuk menghubungi protokol DeFi. Berdasarkan pesan tersebut, jika tim tidak menerima jawaban, mereka akan “menganggap Anda menggunakan dana tersebut dengan niat yang melanggar hukum dan akan menempuh semua jalur pidana, hukum, dan administratif yang tersedia” untuk memulihkan dana yang disalahgunakan tersebut.
Para penipu sangat menargetkan sektor ini. Minggu ini, berbagai proyek DeFi, termasuk Compound Finance, disusupi dalam serangan phishing.
Tampaknya, proyek tersebut adalah korban serangan domain DNS yang mengarahkan pengguna ke situs web palsu.
Website copy merupakan alat penguras yang dapat menguras dana pengguna jika berinteraksi dengannya. Akibatnya, tim proyek mendesak pelanggan untuk tidak berinteraksi dengan situs web tersebut sampai pemberitahuan lebih lanjut.
