• Un alt protocol DeFi, Dough Finance, a fost victima unui exploit vineri dimineață, pierzând 1,96 milioane de dolari din fondurile utilizatorilor. 

Dough Finance, un protocol open-source pentru a crea piețe de lichiditate fără custodie, a suferit un atac de împrumut rapid care a luat 1,96 milioane de dolari în fonduri ale utilizatorilor. Echipa proiectului a anunțat că lucrează pentru a rezolva situația cu promptitudine.

Protocolul Dough Finance pierde 1,96 milioane de dolari

Pe 12 iulie, au fost lansate rapoarte online privind activitatea de la Dough Finance. Platforma de securitate blockchain Web3 Cyvers ne-a informat că a detectat mai multe tranzacții suspecte care implică protocolul DeFi.

Conform raportului, hackerul a manipulat contractul inteligent al lui Dough Finance și a furat 1,8 milioane de dolari în USDC. Atacatorul, finanțat prin protocolul Railgun cu zero cunoștințe (ZK), a schimbat fondurile deturnate către Ethereum (ETH), obținând inițial 608 ETH.

Olympix, un furnizor de securitate Web3, a dezvăluit că exploatarea a avut loc din cauza „datelor de apel în cadrul contractului ConnectorDeleverageParaswap”. Aparent, contractul nu a verificat în mod corespunzător datele apelurilor de împrumut rapid.

Datele de apel nevalidate au permis exploatatorului să manipuleze datele contractului și să trimită fondurile către un cont deținut extern (EAO). În urma rapoartelor inițiale, a avut loc un al doilea lot de atacuri.

Alertă de exploatare

Dough Finance a fost exploatat pentru aproximativ 1,8 milioane USD! Fondurile furate sunt deținute în prezent în conturile deținute din exterior.

Consultați fluxul fondului aici: https://t.co/OvOJ79YEe#CryptoInvestigation#CryptoSecurity pic.twitter.com/gqib5jCxt3

— Breadcrumbs.app (@AppBreadcrumbs) 12 iulie 2024

Aceste atacuri au dus la pierderea a încă 141.000 USD în USDC, ridicând totalul furtului criptografic la 1,96 milioane USD. Cu toate acestea, Cyvers a confirmat că fondurile Aave ale protocolului de împrumut au rămas neafectate.

Escrocii vizează proiecte DeFi

După rapoartele inițiale, protocolul DeFi a recunoscut atacul și a îndemnat utilizatorii să-și retragă fondurile rămase din protocol. Mai târziu, Dough Finance a anunțat că a identificat și închis exploitul.

Proiectul a confirmat că „câteva conturi inteligente Dough DeFi (DSA)” au fost victimele unui exploit sofisticat. Mai mult, postarea a asigurat că echipa Dough Finance lucrează activ pentru a rezolva incidentul, a recupera fondurile și a face investitorii întregi.

Rapoartele online au dezvăluit că echipa a contactat exploatatorul. Într-un mesaj în lanț, protocolul Defi a informat exploatatorul că a contactat autoritățile competente.

Dough Finance încearcă să contacteze hackerul. pic.twitter.com/SjMpdgp6cc

— Evgenii (@CryptoEvgen) 12 iulie 2024

Echipa s-a oferit, de asemenea, să discute despre o recompensă dacă atacatorul ar fi „exploatat această vulnerabilitate ca o pălărie albă sau gri” și a atașat adresa la care fondurile ar trebui să fie transferate direct.

Exploatorul are până luni, 15 iulie 2024, la ora 23:00 UTC, să contacteze protocolul DeFi. Conform mesajului, dacă echipa nu primește un răspuns, va „presupune că v-ați însușit fondurile cu intenție ilegală și va urmări toate căile penale, legale și administrative disponibile” pentru a recupera fondurile deturnate.

Escrocii au vizat puternic sectorul. Săptămâna aceasta, diverse proiecte DeFi, inclusiv Compound Finance, au fost compromise într-un atac de phishing. 

Aparent, proiectele au fost victimele unui atac de domeniu DNS care a redirecționat utilizatorii către un site web fals.

Site-ul web de copiere a fost un instrument de scurgere care ar putea consuma fondurile utilizatorilor dacă aceștia interacționau cu el. Drept urmare, echipele de proiecte au îndemnat clienții să nu interacționeze cu site-urile web până la o nouă notificare.