Протокол децентрализованного финансирования (DeFi) Dough Finance потерял 1,8 миллиона долларов в цифровых активах после мгновенной кредитной атаки на протокол. 

12 июля компания Cyvers, занимающаяся безопасностью Web3, сообщила, что обнаружила несколько подозрительных транзакций. Компания связалась с протоколом кредитования Aave, чтобы проверить, не были ли затронуты пулы. Однако охранная фирма подтвердила, что бассейны на территории Ааве безопасны.

Несмотря на это, основная тяжесть атаки пришлась на Dough Finance. По словам Сайверса, злоумышленник получил финансирование через протокол с нулевым разглашением (ZK) Railgun и обменял украденную монету доллара США (USDC) на эфир (ETH). Злоумышленник получил в общей сложности 608 ETH на сумму около $1,8 миллиона.

Хакер манипулирует смарт-контрактом

Поставщик безопасности Web3 Olympix подчеркнул, что эксплойт произошел из-за непроверенных данных вызова в контракте «ConnectorDeleverageParaswap». Фирма пояснила:

«Контракт не проверял должным образом данные, полученные во время звонков по срочному кредиту, что позволило злоумышленнику манипулировать ими в своих интересах».

Благодаря этому злоумышленник смог манипулировать данными и украсть средства.

В Olympix заявили, что могут пострадать те, кто внес средства в использованный контракт протокола DeFi. Однако поставщик безопасности отметил, что взлом не затронул пулы Aave.

Поставщик безопасности также посоветовал пользователям Dough Finance рассмотреть возможность вывода своих средств на безопасный кошелек. Кроме того, они призвали пользователей следить за объявлениями команды Dough Finance и избегать взаимодействия с протоколом до разрешения ситуации.

Связанный: Хакер Pancake Bunny выкачал 2,9 миллиона долларов эфира через Tornado Cash

В 2024 году потери в результате инцидентов, связанных с безопасностью, составили более 1 миллиарда долларов.

В то время как потери от взлома Dough Finance составили всего почти 2 миллиона долларов, остальная часть криптопространства уже потеряла более 1 миллиарда долларов в цифровых активах из-за различных инцидентов в этом пространстве.

3 июля компания CertiK, занимающаяся безопасностью блокчейнов, опубликовала свой отчет по безопасности, подчеркнув, что потери от инцидентов в блокчейне уже достигли 1,19 миллиарда долларов в первой половине 2024 года. Большая часть потерь была связана с фишинговыми атаками и взломом закрытых ключей.

По данным CertiK, в результате фишинговых атак пространство потеряло почти 500 миллионов долларов, а компрометация закрытых ключей привела к убыткам почти в 409 миллионов долларов.

Соучредитель CertiK Ронхуэй Гу подчеркнул острую необходимость внедрения методов многофакторной аутентификации, таких как двухфакторная аутентификация (2FA) и ключи безопасности.

Журнал: раскрыт любимый эксплойт Lazarus Group — анализ крипто-хаков