• 別のDeFiプロトコルであるDough Financeは金曜日の朝に攻撃の被害に遭い、ユーザーの資金196万ドルを失った。

非管理型流動性市場を作成するオープンソースプロトコルであるDough Financeは、フラッシュローン攻撃を受け、ユーザー資金196万ドルを奪われました。プロジェクトチームは、状況を速やかに解決するために取り組んでいると発表しました。

ダウ・ファイナンス・プロトコルが196万ドルの損失

7月12日、Dough Financeの活動に関するオンラインレポートが発表されました。Web3ブロックチェーンセキュリティプラットフォームCyversは、DeFiプロトコルに関連する複数の疑わしいトランザクションを検出したと私たちに知らせました。

報道によると、ハッカーはDough Financeのスマートコントラクトを操作し、USDCで180万ドルを盗んだ。ゼロ知識（ZK）プロトコルRailgunを通じて資金を得た攻撃者は、不正に流用した資金をイーサリアム（ETH）に交換し、当初608 ETHを入手した。

Web3 セキュリティ プロバイダーの Olympix は、このエクスプロイトは「ConnectorDeleverageParaswap 契約内のコールデータ」が原因で発生したことを明らかにしました。どうやら、この契約ではフラッシュ ローンのコール データを適切にチェックしていなかったようです。

検証されていないコールデータにより、攻撃者は契約データを操作し、資金を外部所有アカウント (EAO) に送金することができました。最初の報告に続いて、2 回目の攻撃が発生しました。

エクスプロイトアラート

Dough Finance は約 180 万ドルを搾取されました。盗まれた資金は現在、外部所有のアカウントに保管されています。

資金の流れはこちらをご覧ください: https://t.co/OvOJ79YEe#CryptoInvestigation#CryptoSecurity pic.twitter.com/gqib5jCxt3

— Breadcrumbs.app (@AppBreadcrumbs) 2024年7月12日

これらの攻撃により、USDCでさらに14万1000ドルが失われ、仮想通貨の総額は196万ドルに上った。しかし、Cyversは貸付プロトコルAaveのプールは影響を受けていないことを確認した。

詐欺師がDeFiプロジェクトを狙う

最初の報告の後、DeFiプロトコルは攻撃を認め、ユーザーにプロトコルから残りの資金を引き出すよう促した。その後、Dough Financeは、このエクスプロイトを特定し、閉鎖したと発表した。

同プロジェクトは、「初期のDough DeFiスマートアカウント（DSA）のいくつか」が巧妙な攻撃の被害に遭ったことを確認した。さらに、Dough Financeのチームがこの事件に対処し、資金を回収し、投資家に全額返金するために積極的に取り組んでいると投稿で保証した。

オンラインレポートによると、チームはエクスプロイト実行者に連絡を取ったという。オンチェーンメッセージで、Defiプロトコルはエクスプロイト実行者に適切な当局に連絡したことを通知した。

ダウ・ファイナンスはハッカーとの連絡を試みる。pic.twitter.com/SjMpdgp6cc

— エフゲニー（@CryptoEvgen）2024年7月12日

チームはまた、攻撃者が「ホワイトハットまたはグレーハットとしてこの脆弱性を悪用した」場合の報奨金について話し合うことを提案し、資金を直接送金するアドレスを添付した。

不正使用者は、2024年7月15日月曜日23:00 UTCまでにDeFiプロトコルに連絡する必要があります。メッセージによると、チームが回答を受け取らなかった場合、チームは「違法な目的で資金を流用したとみなし、不正流用された資金を回収するために、あらゆる刑事、法的、行政上の手段を講じます」とのことです。

詐欺師たちはこの分野を重点的に狙っています。今週、Compound Financeを含むさまざまなDeFiプロジェクトがフィッシング攻撃の被害に遭いました。

どうやら、これらのプロジェクトは、ユーザーを偽の Web サイトにリダイレクトする DNS ドメイン攻撃の被害者だったようです。

このコピーサイトは、ユーザーが操作すると資金を浪費する可能性のあるツールでした。そのため、プロジェクトチームは、追って通知があるまで、顧客に対してこのウェブサイトを操作しないよう呼びかけました。