• 另一个 DeFi 协议 Dough Finance 在周五早上遭受攻击，导致用户资金损失 196 万美元。

Dough Finance 是一种创建非托管流动性市场的开源协议，它遭受了一次闪电贷攻击，导致用户资金损失 196 万美元。该项目团队宣布他们正在努力迅速解决这一问题。

Dough Finance Protocol 损失 196 万美元

7 月 12 日，网上关于 Dough Finance 活动的报道被曝光。Web3 区块链安全平台 Cyvers 通知我们，它检测到了多笔涉及 DeFi 协议的可疑交易。

报道称，黑客操纵了 Dough Finance 的智能合约，窃取了价值 180 万美元的 USDC。攻击者通过零知识 (ZK) 协议 Railgun 获得资金，将挪用的资金换成了以太坊 (ETH)，最初获得了 608 ETH。

Web3 安全提供商 Olympix 透露，此次漏洞是由于“ConnectorDeleverageParaswap 合约中的调用数据”造成的。看来，该合约没有正确检查闪电贷调用数据。

未经验证的 calldata 允许攻击者操纵合约数据并将资金发送到外部拥有账户 (EAO)。在最初的报告之后，发生了第二批攻击。

漏洞警报

Dough Finance 已被盗用约 180 万美元！被盗资金目前存放在外部账户中。

在此查看基金流动情况：https://t.co/OvOJ79YEe#CryptoInvestigation#CryptoSecurity pic.twitter.com/gqib5jCxt3

— Breadcrumbs.app (@AppBreadcrumbs) 2024 年 7 月 12 日

这些攻击导致又损失了 141,000 美元的 USDC，使加密货币总损失达到 196 万美元。尽管如此，Cyvers 确认借贷协议 Aave 的资金池并未受到影响。

诈骗者瞄准 DeFi 项目

在最初的报道发布后，DeFi 协议承认了这一攻击，并敦促用户从协议中提取剩余资金。后来，Dough Finance 宣布已发现并关闭了该漏洞。

该项目证实，“一些早期的 Dough DeFi 智能账户 (DSA)”遭到了复杂的攻击。此外，该帖子还保证 Dough Finance 团队正在积极努力解决这一事件，追回资金，并让投资者恢复原状。

网上报道称，该团队已联系了漏洞利用者。Defi 协议在一条链上消息中通知漏洞利用者，它已联系了相关部门。

Dough Finance 尝试联系黑客。pic.twitter.com/SjMpdgp6cc

— Evgenii (@CryptoEvgen) 2024 年 7 月 12 日

该团队还表示，如果攻击者“以白帽子或灰帽子的身份利用此漏洞”，将支付赏金，并附上了应直接转账的地址。

攻击者必须在 2024 年 7 月 15 日星期一 UTC 时间 23:00 之前联系 DeFi 协议。根据消息，如果团队没有收到答复，他们将“假定你以非法意图挪用资金，并将采取一切可能的刑事、法律和行政途径”来追回被挪用的资金。

诈骗者重点瞄准该行业。本周，包括 Compound Finance 在内的多个 DeFi 项目遭到网络钓鱼攻击。

这些项目似乎是 DNS 域攻击的受害者，该攻击将用户重定向到虚假网站。

该复制网站是一种消耗工具，如果用户与其互动，可能会耗尽用户的资金。因此，项目团队敦促客户在另行通知之前不要与该网站互动。