Dough Finance loses $1.8M in flash loan attack

Cointelegraph · 2024-07-12T10:00:01.000Z

Decentralized finance (DeFi) protocol Dough Finance lost $1.8 million in digital assets after a flash loan attack on the protocol. On July 12, Web3 security firm Cyvers flagged that they had detected multiple suspicious transactions. The company communicated with lending protocol Aave to check if pools were affected. However, the security firm confirmed that pools within Aave were safe. Despite this, Dough Finance suffered the brunt of the attack. According to Cyvers, the attacker was funded through the zero-knowledge (ZK) protocol Railgun and swapped the stolen USD Coin (USDC) for Ether (ETH). The attacker got a total of 608 ETH, worth about $1.8 million. Hacker manipulates smart contract Web3 security provider Olympix highlighted that the exploit was due to unvalidated calldata within the "ConnectorDeleverageParaswap" contract. The firm explained: “The contract didn't properly check the data it received during flash loan calls, allowing the attacker to manipulate it for their benefit.” Because of this, the attacker was able to manipulate the data and steal the funds. Olympix said those who deposited funds in the DeFi protocol’s exploited contract might be impacted. However, the security provider noted that the hack did not impact Aave pools. The security provider also advised Dough Finance users to consider withdrawing their funds to a secure wallet. Furthermore, they urged users to monitor announcements from the Dough Finance team and avoid interacting with the protocol until the situation is resolved. Related: Pancake Bunny hacker siphons $2.9M of Ether through Tornado Cash Over $1 billion lost to security incidents in 2024 While the Dough Finance hack losses only amounted to almost $2 million, the rest of the crypto space had already lost more than $1 billion in digital assets because of various incidents within the space. On July 3, blockchain security company CertiK published its security report, highlighting that losses on onchain incidents already reached $1.19 billion in the first half of 2024. Most of the losses were attributed to phishing attacks and private key compromises. According to CertiK, the space lost almost $500 million to phishing attacks, while private key compromises resulted in almost $409 million in losses. CertiK co-founder Ronghui Gu highlighted the urgent need to implement multifactor authentication methods, such as two-factor authentication (2FA) and security keys. Magazine: Lazarus Group’s favorite exploit revealed — Crypto hacks analysis

Протокол децентралізованого фінансування (DeFi) Dough Finance втратив 1,8 мільйона доларів цифрових активів після атаки на протокол швидкої позики. 
12 липня компанія безпеки Web3 Cyvers повідомила, що виявила кілька підозрілих транзакцій. Компанія зв’язалася з протоколом кредитування Aave, щоб перевірити, чи це вплинуло на пули. Однак охоронна фірма підтвердила, що басейни в Aave безпечні.
Незважаючи на це, Dough Finance зазнав основного удару. За словами Сайверса, зловмисник отримував фінансування через протокол нульового знання (ZK) Railgun і обмінював викрадену монету USD (USDC) на ефір (ETH). Загалом зловмисник отримав 608 ETH на суму близько 1,8 мільйона доларів.
Хакер маніпулює смарт-контрактом
Провайдер безпеки Web3 Olympix підкреслив, що експлойт стався через неперевірені дані виклику в контракті «ConnectorDeleverageParaswap». Фірма пояснила:
«Контракт належним чином не перевіряв дані, які він отримував під час викликів флеш-позики, дозволяючи зловмиснику маніпулювати ними на свою користь».
Через це зловмиснику вдалося маніпулювати даними та викрасти кошти.
Olympix повідомила, що це може вплинути на тих, хто вніс кошти в експлуатований контракт протоколу DeFi. Однак постачальник послуг безпеки зазначив, що злом не вплинув на пули Aave.
Провайдер безпеки також порадив користувачам Dough Finance розглянути можливість виведення своїх коштів на безпечний гаманець. Крім того, вони закликали користувачів стежити за оголошеннями від команди Dough Finance і уникати взаємодії з протоколом, доки ситуація не буде вирішена.
Пов’язане: Хакер Pancake Bunny викачує $2,9 млн ефіру через Tornado Cash
У 2024 році через інциденти безпеки було втрачено понад 1 мільярд доларів
У той час як збитки Dough Finance від злому склали лише майже 2 мільйони доларів, решта криптовалютного простору вже втратила понад 1 мільярд доларів цифрових активів через різні інциденти в цьому просторі.
3 липня компанія безпеки блокчейну CertiK опублікувала свій звіт про безпеку, в якому підкреслюється, що збитки від інцидентів у мережі вже сягнули 1,19 мільярда доларів у першій половині 2024 року. Більшість збитків пов’язана з фішинговими атаками та зломом закритого ключа.
За даними CertiK, простір втратив майже 500 мільйонів доларів через фішингові атаки, а компрометація приватного ключа призвела до збитків майже 409 мільйонів доларів.
Співзасновник CertiK Ронхуей Гу підкреслив нагальну потребу впровадження методів багатофакторної автентифікації, таких як двофакторна автентифікація (2FA) і ключі безпеки.
Журнал: розкрито улюблений експлойт Lazarus Group — аналіз криптозломів

Перегляньте більше від автора

Останні новини

Перегляньте більше від автора

Останні новини

Популярні статті