Il protocollo di finanza decentralizzata (DeFi) Dough Finance ha perso 1,8 milioni di dollari in risorse digitali dopo un attacco con prestito lampo al protocollo. 

Il 12 luglio, la società di sicurezza Web3 Cyvers ha segnalato di aver rilevato più transazioni sospette. La società ha comunicato con il protocollo di prestito Aave per verificare se i pool fossero interessati. Tuttavia, la società di sicurezza ha confermato che le piscine all’interno di Aave erano sicure.

Nonostante ciò, Dough Finance ha subito il peso maggiore dell’attacco. Secondo Cyvers, l'aggressore è stato finanziato tramite il protocollo a conoscenza zero (ZK) Railgun e ha scambiato la moneta USD rubata (USDC) con Ether (ETH). L'aggressore ha ottenuto un totale di 608 ETH, per un valore di circa 1,8 milioni di dollari.

L'hacker manipola il contratto intelligente

Il fornitore di sicurezza Web3 Olympix ha sottolineato che l'exploit era dovuto a dati di chiamata non convalidati all'interno del contratto "ConnectorDeleverageParaswap". L'azienda ha spiegato:

"Il contratto non ha controllato adeguatamente i dati ricevuti durante le richieste di prestito flash, consentendo all'aggressore di manipolarli a proprio vantaggio."

In questo modo l’aggressore è riuscito a manipolare i dati e a rubare i fondi.

Olympix ha affermato che coloro che hanno depositato fondi nel contratto sfruttato del protocollo DeFi potrebbero essere colpiti. Tuttavia, il fornitore di sicurezza ha notato che l’hacking non ha avuto alcun impatto sui pool Aave.

Il fornitore di sicurezza ha inoltre consigliato agli utenti di Dough Finance di prendere in considerazione il ritiro dei propri fondi su un portafoglio sicuro. Inoltre, hanno esortato gli utenti a monitorare gli annunci del team di Dough Finance e ad evitare di interagire con il protocollo finché la situazione non sarà risolta.

Correlato: L'hacker di Pancake Bunny sottrae 2,9 milioni di dollari di Ether tramite Tornado Cash

Oltre 1 miliardo di dollari perso a causa di incidenti di sicurezza nel 2024

Mentre le perdite legate all’hacking di Dough Finance ammontavano solo a quasi 2 milioni di dollari, il resto del settore cripto aveva già perso più di 1 miliardo di dollari in asset digitali a causa di vari incidenti avvenuti all’interno dello spazio.

Il 3 luglio, la società di sicurezza blockchain CertiK ha pubblicato il suo rapporto sulla sicurezza, evidenziando che le perdite per incidenti onchain hanno già raggiunto 1,19 miliardi di dollari nella prima metà del 2024. La maggior parte delle perdite sono state attribuite ad attacchi di phishing e compromissioni di chiavi private.

Secondo CertiK, lo spazio ha perso quasi 500 milioni di dollari a causa degli attacchi di phishing, mentre la compromissione delle chiavi private ha comportato perdite per quasi 409 milioni di dollari.

Il co-fondatore di CertiK Ronghui Gu ha sottolineato l'urgente necessità di implementare metodi di autenticazione a più fattori, come l'autenticazione a due fattori (2FA) e le chiavi di sicurezza.

Rivista: rivelato l'exploit preferito di Lazarus Group: analisi degli hack crittografici