Протокол децентрализованного финансирования (DeFi) Dough Finance потерял 1,8 миллиона долларов в цифровых активах после атаки с использованием мгновенных кредитов.
12 июля компания Cyvers, занимающаяся безопасностью Web3, сообщила, что обнаружила несколько подозрительных транзакций. Компания связалась с протоколом кредитования Aave, чтобы проверить, не были ли затронуты пулы. Однако охранная фирма подтвердила, что пулы Aave остаются в безопасности.
Несмотря на это, основная тяжесть атаки пришлась на Dough Finance. По словам Cyvers, злоумышленник получил финансирование через протокол с нулевым разглашением (ZK) Railgun и обменял украденную монету USD Coin (USDC) на Ethereum (ETH). Злоумышленник получил в общей сложности 608 ETH на сумму около $1,8 млн.
Хакер манипулирует смарт-контрактом
Поставщик безопасности Web3 Olympix подчеркнул, что эксплоит произошел из-за непроверенных данных вызова в контракте «ConnectorDeleverageParaswap».
«Контракт не проверял должным образом данные, полученные во время вызовов по срочному кредиту, что позволило злоумышленнику манипулировать ими в свою пользу», – пояснила компания.
Благодаря этому злоумышленник смог манипулировать данными и украсть средства.
В Olympix заявили, что пострадать могут те, кто внес средства в уязвимый контракт протокола DeFi. Однако компания безопасности отметила, что взлом не затронул пулы Aave.
Поставщик безопасности также посоветовал пользователям Dough Finance рассмотреть возможность вывода своих средств на безопасный кошелек. Кроме того, они призвали пользователей следить за объявлениями команды Dough Finance и избегать взаимодействия с протоколом до разрешения ситуации.
В 2024 году потери в результате инцидентов безопасности превысили $1 млрд
В то время как потери от взлома Dough Finance составили почти 2 миллиона долларов, остальная часть криптопространства уже потеряла более 1 миллиарда долларов в цифровых активах из-за различных инцидентов.
3 июля компания CertiK, занимающаяся безопасностью блокчейнов, опубликовала свой отчет по безопасности, подчеркнув, что потери от инцидентов в блокчейне уже достигли 1,19 миллиарда долларов в первой половине 2024 года. Большая часть потерь была связана с фишинговыми атаками и взломом закрытых ключей.
По данным CertiK, в результате фишинговых атак пространство потеряло почти 500 миллионов долларов, а компрометация закрытых ключей привела к убыткам почти в 409 миллионов долларов.
Соучредитель CertiK Ронхуэй Гу подчеркнул острую необходимость внедрения методов многофакторной аутентификации, таких как двухфакторная аутентификация (2FA) и ключи безопасности.