週五早上,又一個DeFi 協定遭到攻擊。 Dough Finance 是一個用於創建非託管流動性市場的開源協議,它遭受了一次閃電貸攻擊,用戶資金被盜取近200 萬美元。該專案團隊宣布他們正在努力迅速解決這個問題。
Dough Finance Protocol 虧損196 萬美元
7 月12 日,網路上關於Dough Finance 活動的報導曝光。 Web3區塊鏈安全平台Cyvers 通知我們,它偵測到了多筆涉及DeFi 協議的可疑交易。
報導稱,駭客操縱了Dough Finance 的智能合約,竊取了價值180 萬美元的USDC。攻擊者透過零知識(ZK) 協議Railgun 獲得資金,將挪用的資金換成了以太坊(ETH),最初獲得了608 ETH。
Web3 安全供應商Olympix 透露,此漏洞是由於「ConnectorDeleverageParaswap 合約中的呼叫資料」造成的。看來,該合約並沒有正確檢查閃電貸調用資料。
未經驗證的calldata 允許攻擊者操縱合約資料並將資金發送到外部擁有帳戶(EAO)。在最初的報告之後,發生了第二批攻擊。
這些攻擊導致又損失了141,000 美元的USDC,使加密貨幣總損失達到196 萬美元。儘管如此,Cyvers 確認借貸協議Aave 的資金礦池並未受到影響。
詐騙者瞄準DeFi項目
在最初的報告發布後,DeFi 協議承認了這項攻擊,並敦促用戶從協議中提取剩餘資金。後來,Dough Finance 宣布已發現並關閉了漏洞。
該專案確認「一些早期的Dough DeFi 智慧帳戶(DSA)」遭受了複雜的攻擊。此外,該貼文還保證Dough Finance 團隊正在積極努力解決此事件,追回資金並讓投資者恢復原狀。
在網路上報道稱,該團隊已聯繫了漏洞利用者。 Defi 協定在一條鏈上訊息中通知漏洞利用者,它已聯繫了相關部門。
該團隊還表示,如果攻擊者“以白帽或灰帽的身份利用此漏洞”,將支付賞金,並附上了應直接轉帳的地址。
攻擊者必須在2024 年7 月15 日星期一UTC 時間23:00 之前聯絡DeFi 協定。根據訊息,如果團隊沒有收到答复,他們將「假定您以非法意圖挪用資金,並將採取一切可能的刑事、法律和行政途徑」來追回被挪用的資金。
詐騙者重點瞄準該行業。本週,包括Compound Finance 在內的多個DeFi計畫在一次網路釣魚攻擊中遭到入侵。這些項目似乎是DNS 網域攻擊的受害者,該攻擊將用戶重定向到虛假網站。
該複製網站是一種消耗工具,如果用戶與其互動,可能會耗盡用戶的資金。因此,專案團隊敦促客戶在另行通知之前不要與該網站互動。
資訊來源:由0x資訊編譯自BITCOININSIDER。版權歸作者Anonymous所有,未經許可,不得轉載
0X簡體中文版:DeFi 協議Dough Finance 漏洞竊取196 萬美元用戶資金