Venerdì mattina un altro protocollo DeFi è stato vittima di un exploit. Dough Finance, un protocollo open source per creare mercati di liquidità non custoditi, ha subito un attacco di prestiti lampo che ha rubato quasi 2 milioni di dollari in fondi degli utenti. Il team del progetto ha annunciato che sta lavorando per risolvere tempestivamente la situazione.
Il protocollo Dough Finance perde 1,96 milioni di dollari
Il 12 luglio sono stati diffusi rapporti online riguardanti l'attività di Dough Finance. La piattaforma di sicurezza blockchain Web3 Cyvers ci ha informato di aver rilevato numerose transazioni sospette che coinvolgono il protocollo DeFi.
Secondo il rapporto, l'hacker ha manipolato il contratto intelligente di Dough Finance e ha rubato 1,8 milioni di dollari in USDC. L'aggressore, finanziato tramite il protocollo a conoscenza zero (ZK) Railgun, ha scambiato i fondi sottratti in Ethereum (ETH), ottenendo inizialmente 608 ETH.
Olympix, un fornitore di sicurezza Web3, ha rivelato che l'exploit è avvenuto a causa di "calldata all'interno del contratto ConnectorDeleverageParaswap". Apparentemente, il contratto non ha controllato adeguatamente i dati delle chiamate di prestito flash.
I dati di chiamata non convalidati hanno consentito allo sfruttatore di manipolare i dati del contratto e inviare i fondi a un conto di proprietà esterna (EAO). Dopo le prime segnalazioni si è verificata una seconda serie di attacchi .
Questi attacchi hanno comportato la perdita di altri 141.000 dollari in USDC, portando il totale dei furti di criptovalute a 1,96 milioni di dollari. Ciononostante, Cyvers ha confermato che i pool del protocollo di prestito Aave sono rimasti inalterati.
I truffatori prendono di mira progetti DeFi
Dopo le prime segnalazioni, il protocollo DeFi ha riconosciuto l’attacco e ha invitato gli utenti a ritirare i fondi rimanenti dal protocollo. Successivamente, Dough Finance ha annunciato di aver identificato e chiuso l’exploit.
Il progetto ha confermato che “alcuni dei primi Dough DeFi Smart Account (DSA)” sono stati vittime di un sofisticato exploit . Inoltre, il post assicurava che il team di Dough Finance sta lavorando attivamente per affrontare l'incidente, recuperare i fondi e salvare gli investitori.
Rapporti online hanno rivelato che la squadra ha contattato lo sfruttatore. In un messaggio on-chain, il protocollo Defi ha informato lo sfruttatore di aver contattato le autorità competenti.
Il team si è anche offerto di discutere una taglia se l’aggressore avesse “sfruttato questa vulnerabilità come un cappello bianco o grigio” e ha allegato l’indirizzo a cui trasferire direttamente i fondi.
Lo sfruttatore ha tempo fino a lunedì 15 luglio 2024 alle 23:00 UTC per contattare il protocollo DeFi. Secondo il messaggio, se il team non riceve una risposta, "presumerà che tu ti sia appropriato dei fondi con intenti illegali e perseguirà tutte le vie penali, legali e amministrative disponibili" per recuperare i fondi sottratti.
I truffatori hanno preso di mira pesantemente il settore. Questa settimana diversi progetti DeFi, tra cui Compound Finance, sono stati compromessi da un attacco di phishing. Sembra che i progetti siano stati vittime di un attacco al dominio DNS che ha reindirizzato gli utenti su un sito web falso.
Il sito web di copia era uno strumento di drenaggio che poteva drenare i fondi degli utenti se avessero interagito con esso. Di conseguenza, i team dei progetti hanno invitato i clienti a non interagire con i siti Web fino a nuovo avviso.
