Một giao thức DeFi khác trở thành nạn nhân của một vụ khai thác vào sáng thứ Sáu.
Dough Finance, một giao thức nguồn mở nhằm tạo ra thị trường thanh khoản không cần giám sát, đã phải hứng chịu một cuộc tấn công flash loan khiến gần 2 triệu USD tiền của người dùng bị thiệt hại.
Nhóm dự án thông báo họ đang nỗ lực giải quyết tình hình kịp thời.
Dough Finance thiệt hại 1.96 triệu USD
Vào ngày 12 tháng 7, các báo cáo trực tuyến liên quan đến hoạt động của Dough Finance đã được đưa ra.
Nền tảng bảo mật blockchain Web3 Cyvers đã thông báo cho chúng tôi rằng họ đã phát hiện nhiều giao dịch đáng ngờ liên quan đến giao thức DeFi.
Theo báo cáo, hacker đã thao túng hợp đồng thông minh của Dough Finance và đánh cắp 1.8 triệu USDC.
Kẻ tấn công, được tài trợ thông qua giao thức Railgun zero-knowledge (ZK), đã swap số tiền bị biển thủ thành Ethereum (ETH), ban đầu thu được 608 ETH.
Olympix, nhà cung cấp bảo mật Web3, tiết lộ rằng việc khai thác xảy ra do “dữ liệu lệnh gọi trong hợp đồng ConnectorDeleverageParaswap”. Có vẻ như hợp đồng đã không kiểm tra chính xác dữ liệu các cuộc gọi cho vay nhanh.
Dữ liệu cuộc gọi không được xác thực cho phép kẻ khai thác thao túng dữ liệu của hợp đồng và gửi tiền đến Tài khoản thuộc sở hữu bên ngoài (EAO). Sau những báo cáo ban đầu, một đợt tấn công thứ hai đã xảy ra.
Các cuộc tấn công này đã dẫn đến việc mất thêm 141,000 USDC, nâng tổng số vụ trộm tiền điện tử lên 1.96 triệu USD. Tuy nhiên, Cyvers xác nhận rằng pool giao thức cho vay của Aave vẫn không bị ảnh hưởng.
Những kẻ lừa đảo nhắm mục tiêu vào các dự án DeFi
Sau những báo cáo ban đầu, giao thức DeFi đã thừa nhận cuộc tấn công và kêu gọi người dùng rút số tiền còn lại khỏi giao thức.
Sau đó, Dough Finance thông báo họ đã xác định được và đóng hoạt động khai thác.
Dự án xác nhận rằng “một số Tài khoản thông minh Dough DeFi (DSA) đời đầu” là nạn nhân của một cách khai thác tinh vi.
Hơn nữa, bài đăng đảm bảo rằng nhóm của Dough Finance đang tích cực làm việc để giải quyết vụ việc, thu hồi tiền và bảo đảm an toàn cho các nhà đầu tư.
Các báo cáo trực tuyến tiết lộ rằng nhóm đã liên hệ với kẻ tấn công. Trong một tin nhắn on-chain, giao thức Defi đã thông báo cho kẻ khai thác rằng nó đã liên hệ với các cơ quan chức năng thích hợp.
Nhóm cũng đề nghị thảo luận về tiền thưởng nếu kẻ tấn công đã “khai thác lỗ hổng này dưới dạng mũ trắng hoặc xám” và đính kèm địa chỉ nơi số tiền sẽ được chuyển trực tiếp.
Kẻ khai thác có thời hạn đến Thứ Hai, ngày 15 tháng 7 năm 2024, lúc 23:00 UTC để liên hệ với giao thức DeFi.
Theo thông báo, nếu nhóm không nhận được câu trả lời, họ sẽ “cho rằng bạn đã chiếm đoạt số tiền với mục đích bất hợp pháp và sẽ theo đuổi mọi con đường hình sự, pháp lý và hành chính có sẵn” để thu hồi số tiền bị chiếm đoạt.
Những kẻ lừa đảo đã nhắm mục tiêu rất nhiều vào lĩnh vực này. Tuần này, nhiều dự án DeFi khác nhau, bao gồm cả Compound Finance, đã bị xâm phạm trong một cuộc tấn công lừa đảo.
Có vẻ như các dự án này là nạn nhân của một cuộc tấn công tên miền DNS chuyển hướng người dùng đến một trang web giả mạo.
Trang web sao chép là một công cụ rút tiền có thể tiêu hao tiền của người dùng nếu họ tương tác với nó.
Do đó, nhóm dự án đã kêu gọi khách hàng không tương tác với các trang web cho đến khi có thông báo mới.
Tin Tức Bitcoin tổng hợp
