週五早上,另一個 DeFi 協議成為了漏洞的受害者。 Dough Finance 是一個用於創建非託管流動性市場的開源協議,遭受了閃電貸攻擊,竊取了近 200 萬美元的用戶資金。專案團隊宣布正在努力盡快解決這個問題。
Dough Finance Protocol 損失 196 萬美元
7 月 12 日,有關 Dough Finance 活動的線上報告發布。區塊鏈安全平台 Web3 Cyvers 告知我們,它已檢測到大量涉及 DeFi 協議的可疑交易。
報導稱,駭客操縱了 Dough Finance 的智能合約,竊取了 180 萬美元的 USDC。攻擊者透過零知識(ZK)協議 Railgun 資助,將竊取的資金兌換成以太坊(ETH),最初獲得了 608 ETH。
Web3 安全供應商 Olympix 透露,該漏洞是由於「ConnectorDeleverageParaswap 合約內的呼叫資料」而發生的。顯然,該合約並未充分審查閃貸數據。
未經驗證的調用資料允許攻擊者操縱合約資料並將資金發送到外部擁有的帳戶(EAO)。在最初的報告之後,發生了第二系列攻擊。
這些攻擊導致 USDC 額外損失 141,000 美元,使加密貨幣盜竊總額達到 196 萬美元。儘管如此,Cyvers 確認 Aave 借貸協議池保持不變。
詐騙者瞄準 DeFi 項目
在初步報告後,DeFi 協議承認了攻擊,並敦促用戶從協議中提取剩餘資金。隨後,Dough Finance 宣布已識別並關閉漏洞。
該專案確認「一些早期的 Dough DeFi 智慧帳戶(DSA)」是複雜漏洞的受害者。此外,該貼文還保證,Dough Finance 團隊正在積極努力解決該事件,追回資金並拯救投資者。
網路報道顯示,團隊聯繫了利用者。在鏈上訊息中,Defi 協定通知漏洞利用者,它已聯繫相關當局。
該團隊還提出,如果攻擊者“以白帽或灰帽的身份利用此漏洞”,並附上可以直接轉移資金的地址,他們將討論懸賞金。
攻擊者必須在 UTC 時間 2024 年 7 月 15 日星期一晚上 11:00 之前聯繫 DeFi 協定。根據該訊息,如果該團隊沒有收到回复,它將「假定您出於非法目的挪用了這些資金,並將採取一切可用的刑事、法律和行政途徑」來追回被盜資金。
詐騙者主要針對該行業。本週,包括 Compound Finance 在內的多個 DeFi 專案遭到網路釣魚攻擊。這些項目似乎已成為 DNS 網域攻擊的受害者,該攻擊將用戶重定向到虛假網站。
這個山寨網站是一種流失工具,如果用戶與之互動,就會耗盡用戶的資金。因此,專案團隊建議客戶不要與網站互動,直到另行通知。
