Một giao thức DeFi khác, Dough Finance, đã trở thành nạn nhân của một vụ khai thác vào sáng thứ Sáu, khiến người dùng mất 1,96 triệu USD.
Dough Finance, một giao thức nguồn mở để tạo ra thị trường thanh khoản không giám sát, đã phải hứng chịu một cuộc tấn công cho vay nhanh khiến người dùng thiệt hại 1,96 triệu USD. Nhóm dự án thông báo họ đang nỗ lực giải quyết tình hình kịp thời.
Giao thức tài chính Dough mất 1,96 triệu USD
Vào ngày 12 tháng 7, các báo cáo trực tuyến liên quan đến hoạt động của Dough Finance đã được đưa ra. Nền tảng bảo mật chuỗi khối Web3 Cyvers đã thông báo cho chúng tôi rằng họ đã phát hiện nhiều giao dịch đáng ngờ liên quan đến giao thức DeFi.
Theo báo cáo, hacker đã thao túng hợp đồng thông minh của Dough Finance và đánh cắp 1,8 triệu USD USDC. Kẻ tấn công, được tài trợ thông qua giao thức Railgun không có kiến thức (ZK), đã hoán đổi số tiền bị biển thủ thành Ethereum (ETH), ban đầu thu được 608 ETH.
Olympix, nhà cung cấp bảo mật Web3, tiết lộ rằng việc khai thác xảy ra do “dữ liệu lệnh gọi trong hợp đồng ConnectorDeleverageParaswap”. Có vẻ như hợp đồng đã không kiểm tra chính xác dữ liệu các cuộc gọi cho vay nhanh.
Dữ liệu cuộc gọi không được xác thực cho phép kẻ khai thác thao túng dữ liệu của hợp đồng và gửi tiền đến Tài khoản thuộc sở hữu bên ngoài (EAO). Sau những báo cáo ban đầu, một đợt tấn công thứ hai đã xảy ra.
Cảnh báo khai thác
Dough Finance đã bị khai thác với giá khoảng 1,8 triệu USD! Số tiền bị đánh cắp hiện đang được giữ trong các tài khoản thuộc sở hữu bên ngoài.
Kiểm tra dòng chảy của quỹ tại đây: https://t.co/OvOJ79YEe#CryptoInvestigation#CryptoSecurity pic.twitter.com/gqib5jCxt3
- Breadcrumbs.app (@AppBreadcrumbs) Ngày 12 tháng 7 năm 2024
Các cuộc tấn công này đã dẫn đến việc mất thêm 141.000 đô la USDC, nâng tổng số vụ trộm tiền điện tử lên 1,96 triệu đô la. Tuy nhiên, Cyvers xác nhận rằng nhóm giao thức cho vay của Aave vẫn không bị ảnh hưởng.
Những kẻ lừa đảo nhắm mục tiêu vào các dự án DeFi
Sau những báo cáo ban đầu, giao thức DeFi đã thừa nhận cuộc tấn công và kêu gọi người dùng rút số tiền còn lại khỏi giao thức. Sau đó, Dough Finance thông báo họ đã xác định được và đóng hoạt động khai thác.
Dự án xác nhận rằng “một số Tài khoản thông minh Dough DeFi (DSA) đời đầu” là nạn nhân của một cách khai thác tinh vi. Hơn nữa, bài đăng đảm bảo rằng nhóm của Dough Finance đang tích cực làm việc để giải quyết vụ việc, thu hồi tiền và bảo đảm an toàn cho các nhà đầu tư.
Các báo cáo trực tuyến tiết lộ rằng nhóm đã liên hệ với kẻ khai thác. Trong một tin nhắn trên chuỗi, giao thức Defi đã thông báo cho kẻ khai thác rằng nó đã liên hệ với các cơ quan chức năng thích hợp.
Dough Finance cố gắng liên hệ với hacker. pic.twitter.com/SjMpdgp6cc
— Evgenii (@CryptoEvgen) Ngày 12 tháng 7 năm 2024
Nhóm cũng đề nghị thảo luận về tiền thưởng nếu kẻ tấn công đã “khai thác lỗ hổng này dưới dạng mũ trắng hoặc xám” và đính kèm địa chỉ nơi số tiền sẽ được chuyển trực tiếp.
Kẻ khai thác có thời hạn đến Thứ Hai, ngày 15 tháng 7 năm 2024, lúc 23:00 UTC để liên hệ với giao thức DeFi. Theo thông báo, nếu nhóm không nhận được câu trả lời, họ sẽ “cho rằng bạn đã chiếm đoạt số tiền với mục đích bất hợp pháp và sẽ theo đuổi mọi con đường hình sự, pháp lý và hành chính có sẵn” để thu hồi số tiền bị chiếm đoạt.
Những kẻ lừa đảo đã nhắm mục tiêu rất nhiều vào lĩnh vực này. Tuần này, nhiều dự án DeFi khác nhau, bao gồm cả Tài chính phức hợp, đã bị xâm phạm trong một cuộc tấn công lừa đảo.
Có vẻ như các dự án này là nạn nhân của một cuộc tấn công tên miền DNS chuyển hướng người dùng đến một trang web giả mạo.
Trang web sao chép là một công cụ rút tiền có thể tiêu hao tiền của người dùng nếu họ tương tác với nó. Do đó, nhóm dự án đã kêu gọi khách hàng không tương tác với các trang web cho đến khi có thông báo mới.
