Protokół zdecentralizowanych finansów (DeFi) Firma Dough Finance straciła 1,8 miliona dolarów w postaci aktywów cyfrowych po ataku na protokół w postaci pożyczki błyskawicznej. 

12 lipca firma Cyvers zajmująca się bezpieczeństwem Web3 poinformowała, że ​​wykryła wiele podejrzanych transakcji. Firma skontaktowała się z protokołem pożyczkowym Aave, aby sprawdzić, czy problem dotyczy pul. Jednak firma ochroniarska potwierdziła, że ​​baseny w Aave są bezpieczne.

Mimo to firma Dough Finance odniosła największy ciężar ataku. Według Cyversa atakujący finansował się za pomocą protokołu wiedzy zerowej (ZK) Railgun i zamienił skradzioną monetę USDC (USDC) na Ether (ETH). Atakujący zdobył łącznie 608 ETH o wartości około 1,8 miliona dolarów.

Haker manipuluje inteligentnym kontraktem

Dostawca zabezpieczeń Web3, firma Olympix, podkreśliła, że ​​przyczyną exploita były niezweryfikowane dane wywołań w ramach umowy „ConnectorDeleverageParaswap”. Firma wyjaśniła:

„Kontrakt nie sprawdził prawidłowo danych otrzymanych podczas wezwań do pożyczki flash, co umożliwiło atakującemu manipulowanie nimi na swoją korzyść”.

Dzięki temu atakującemu udało się zmanipulować dane i ukraść środki.

Olympix stwierdził, że może to mieć wpływ na osoby, które zdeponowały środki w ramach umowy wykorzystywanej przez protokół DeFi. Dostawca zabezpieczeń zauważył jednak, że włamanie nie miało wpływu na pule Aave.

Dostawca zabezpieczeń poradził również użytkownikom Dough Finance rozważenie wypłaty środków do bezpiecznego portfela. Ponadto nawoływali użytkowników do monitorowania ogłoszeń zespołu Dough Finance i unikania interakcji z protokołem do czasu rozwiązania sytuacji.

Powiązane: Haker Pancake Bunny wyssał 2,9 miliona dolarów z Etheru za pośrednictwem Tornado Cash

W 2024 r. w wyniku incydentów związanych z bezpieczeństwem zginęło ponad 1 miliard dolarów

Podczas gdy straty w wyniku hackowania Dough Finance wyniosły jedynie prawie 2 miliony dolarów, reszta przestrzeni kryptograficznej straciła już ponad 1 miliard dolarów w postaci aktywów cyfrowych z powodu różnych incydentów w tej przestrzeni.

3 lipca firma CertiK zajmująca się bezpieczeństwem blockchain opublikowała swój raport dotyczący bezpieczeństwa, podkreślając, że straty wynikające z incydentów onchain osiągnęły już 1,19 miliarda dolarów w pierwszej połowie 2024 r. Większość strat przypisywano atakom phishingowym i ujawnieniom klucza prywatnego.

Według CertiK przestrzeń straciła prawie 500 milionów dolarów w wyniku ataków phishingowych, a naruszenie klucza prywatnego spowodowało straty prawie 409 milionów dolarów.

Współzałożyciel CertiK, Ronghui Gu, podkreślił pilną potrzebę wdrożenia metod uwierzytelniania wieloskładnikowego, takich jak uwierzytelnianie dwuskładnikowe (2FA) i klucze bezpieczeństwa.

Magazyn: Ujawniono ulubiony exploit Lazarus Group — analiza hacków Crypto