• 另一個 DeFi 協議 Dough Finance 在週五早上遭受攻擊，導致用戶資金損失 196 萬美元。

Dough Finance 是一種創建非託管流動性市場的開源協議，它遭受了一次閃電貸攻擊，導致用戶資金損失 196 萬美元。該項目團隊宣佈他們正在努力迅速解決這一問題。

Dough Finance Protocol 損失 196 萬美元

7 月 12 日，網上關於 Dough Finance 活動的報道被曝光。Web3 區塊鏈安全平臺 Cyvers 通知我們，它檢測到了多筆涉及 DeFi 協議的可疑交易。

報道稱，黑客操縱了 Dough Finance 的智能合約，竊取了價值 180 萬美元的 USDC。攻擊者通過零知識 (ZK) 協議 Railgun 獲得資金，將挪用的資金換成了以太坊 (ETH)，最初獲得了 608 ETH。

Web3 安全提供商 Olympix 透露，此次漏洞是由於“ConnectorDeleverageParaswap 合約中的調用數據”造成的。看來，該合約沒有正確檢查閃電貸調用數據。

未經驗證的 calldata 允許攻擊者操縱合約數據並將資金髮送到外部擁有賬戶 (EAO)。在最初的報告之後，發生了第二批攻擊。

漏洞警報

Dough Finance 已被盜用約 180 萬美元！被盜資金目前存放在外部賬戶中。

在此查看基金流動情況：https://t.co/OvOJ79YEe#CryptoInvestigation#CryptoSecurity pic.twitter.com/gqib5jCxt3

— Breadcrumbs.app (@AppBreadcrumbs) 2024 年 7 月 12 日

這些攻擊導致又損失了 141,000 美元的 USDC，使加密貨幣總損失達到 196 萬美元。儘管如此，Cyvers 確認借貸協議 Aave 的資金池並未受到影響。

詐騙者瞄準 DeFi 項目

在最初的報道發佈後，DeFi 協議承認了這一攻擊，並敦促用戶從協議中提取剩餘資金。後來，Dough Finance 宣佈已發現並關閉了該漏洞。

該項目證實，“一些早期的 Dough DeFi 智能賬戶 (DSA)”遭到了複雜的攻擊。此外，該帖子還保證 Dough Finance 團隊正在積極努力解決這一事件，追回資金，並讓投資者恢復原狀。

網上報道稱，該團隊已聯繫了漏洞利用者。Defi 協議在一條鏈上消息中通知漏洞利用者，它已聯繫了相關部門。

Dough Finance 嘗試聯繫黑客。pic.twitter.com/SjMpdgp6cc

— Evgenii (@CryptoEvgen) 2024 年 7 月 12 日

該團隊還表示，如果攻擊者“以白帽子或灰帽子的身份利用此漏洞”，將支付賞金，並附上了應直接轉賬的地址。

攻擊者必須在 2024 年 7 月 15 日星期一 UTC 時間 23:00 之前聯繫 DeFi 協議。根據消息，如果團隊沒有收到答覆，他們將“假定你以非法意圖挪用資金，並將採取一切可能的刑事、法律和行政途徑”來追回被挪用的資金。

詐騙者重點瞄準該行業。本週，包括 Compound Finance 在內的多個 DeFi 項目遭到網絡釣魚攻擊。

這些項目似乎是 DNS 域攻擊的受害者，該攻擊將用戶重定向到虛假網站。

該複製網站是一種消耗工具，如果用戶與其互動，可能會耗盡用戶的資金。因此，項目團隊敦促客戶在另行通知之前不要與該網站互動。