В пятницу утром еще один DeFi-протокол стал жертвой эксплойта. Протокол Dough Finance, открытый исходный код для создания безохранных рынков ликвидности, пострадал от атаки флэш-кредитов на сумму почти 2 миллионов долларов от пользователей. Команда проекта заявила, что они работают над решением ситуации как можно быстрее.
Протокол Dough Finance потерял 1,96 миллиона долларов
12 июля появилась информация в сети, связанная с деятельностью Dough Finance. Веб-платформа по безопасности блокчейна Web3 Cyvers сообщила, что она обнаружила несколько подозрительных транзакций, связанных с DeFi-протоколом.
По информации, хакер манипулировал умным контрактом Dough Finance и украл 1,8 миллиона долларов в USDC. Атакующий, используя протокол нулевого знания (ZK) Railgun, обменял похищенные средства на Ethereum (ETH), изначально получив 608 ETH.
Компания Olympix, занимающаяся безопасностью веб-платформы Web3, раскрыло, что эксплойт произошел из-за “calldata в контракте ConnectorDeleverageParaswap”. Вероятно, контракт неправильно проверял данные вызовов флэш-кредитов.
Непроверенные данные вызовов позволили эксплуататору манипулировать данными контракта и отправить средства на внешний аккаунт (EAO). После первых отчетов произошла вторая волна атак.
Поток средств Dough Finance после атаки. Источник: Breadcrumbs.app на X
Эти атаки привели к потере еще 141 000 долларов в USDC, увеличив общий объем криптовалютной кражи до 1,96 миллиона долларов. Тем не менее, Cyvers подтвердил, что пулы кредитования протокола Aave остались не затронутыми.
Мошенники атакуют DeFi-проекты
После первых отчетов DeFi-протокол признал атаку и попросил пользователей вывести оставшиеся средства из протокола. Позже Dough Finance объявил, что он выявил и закрыл эксплойт.
Проект подтвердил, что “несколько ранних смарт-аккаунтов Dough DeFi (DSA)” стали жертвой сложного эксплойта. Кроме того, в сообщении заверили, что команда Dough Finance активно работает над проблемой, восстановлением средств и возмещением ущерба инвесторам.
Онлайн-отчеты показали, что команда связалась с эксплуататором. В сообщении в сети DeFi-протокол сообщил эксплуататору, что контактировал соответствующими органами власти.
Сообщение команды эксплуататору в сети. Источник: Evgenii на X
Команда также предложила обсудить вознаграждение, если атакующий использовал “эту уязвимость как белый или серый хакер,” и указала адрес, куда следует напрямую перевести средства.
Эксплуататору дано время до понедельника, 15 июля 2024 года, в 23:00 по UTC, чтобы связаться с DeFi-протоколом. Согласно сообщению, если команда не получит ответа, они “предположат, что вы использовали средства с незаконным намерением и будут преследовать все уголовные, правовые и административные пути для возврата похищенных средств.
Мошенники активно атакуют сектор. На этой неделе различные DeFi-проекты, включая Compound Finance, были скомпрометированы в результате фишинговой атаки. По-видимому, проекты стали жертвами атаки на домен DNS, которая перенаправляла пользователей на фальшивый веб-сайт.
Фальшивый веб-сайт был инструментом-драйнером, который мог разграбить средства пользователей, взаимодействующих с ним. В результате команды проектов призывали клиентов не взаимодействовать с веб-сайтами до получения дальнейших инструкций.
Источник: Bitcoinist
