Эксплойт DeFi Protocol Dough Finance выманил $1,96 млн средств пользователей
Dough Finance, протокол с открытым исходным кодом для создания рынков ликвидности без опеки, 12 июля подвергся атаке флэш-кредитов, в результате которой было потеряно около 2 миллионов долларов пользовательских средств. Платформа безопасности Web3 blockchain Cyvers обнаружила множество подозрительных транзакций с участием протокола DeFi и выяснила, что хакер манипулировал смарт-контрактом Dough Finance, чтобы украсть 1,8 миллиона долларов США в USDC.
Злоумышленник, финансируемый с помощью протокола нулевого знания (ZK) Railgun, обменял украденные средства на Ethereum (ETH), получив вначале 608 ETH. Поставщик средств безопасности Web3 компания Olympix приписала эксплойт к «calldata внутри контракта ConnectorDeleverageParaswap», который не проверил должным образом данные вызовов флэш-кредитов, что позволило хакеру манипулировать данными контракта и перевести средства на счет, принадлежащий внешнему владельцу (EAO). Вторая волна атак привела к дополнительной потере $141 000 в USDC, в результате чего общая сумма похищенных средств составила $1,96 млн.
Dough Finance незамедлительно признал факт атаки и призвал пользователей вывести оставшиеся средства из протокола. Проект подтвердил, что «несколько ранних смарт-счетов Dough DeFi Smart Accounts (DSA)» подверглись эксплуатации. Команда активно работает над устранением последствий инцидента, возвратом средств и выплатой компенсаций инвесторам. Они также обратились к эксплуататору через сообщение на цепочке, предложив обсудить вознаграждение, если злоумышленник будет действовать как белая или серая шляпа. В сообщении говорилось, что если ответ не будет получен до 15 июля 2024 года в 23:00 UTC, команда предпримет все возможные юридические действия, чтобы вернуть украденные средства.
В последнее время отрасль DeFi стала объектом пристального внимания мошенников: различные проекты, включая Compound Finance, были скомпрометированы в результате фишинговых атак. Эти инциденты были связаны с атакой на DNS-домен, который перенаправлял пользователей на поддельный веб-сайт, предназначенный для вывода средств. С тех пор оба проекта призвали пользователей не взаимодействовать с их сайтами до дальнейшего уведомления.
Несмотря на потери, Dough Finance продолжает укреплять меры безопасности и защищать своих пользователей от будущих атак.