Otro protocolo DeFi fue víctima de un exploit el viernes por la mañana. Dough Finance, un protocolo de código abierto para crear mercados de liquidez sin custodia, sufrió un ataque de préstamos rápidos que robó casi 2 millones de dólares en fondos de los usuarios. El equipo del proyecto anunció que está trabajando para resolver la situación lo antes posible.
El protocolo Dough Finance pierde 1,96 millones de dólares
El 12 de julio se publicaron informes en línea sobre la actividad de Dough Finance. La plataforma de seguridad Blockchain Web3 Cyvers nos informó que ha detectado numerosas transacciones sospechosas que involucran el protocolo DeFi.
Según el informe, el hacker manipuló el contrato inteligente de Dough Finance y robó 1,8 millones de dólares en USDC. El atacante, financiado a través del protocolo Railgun de conocimiento cero (ZK), intercambió los fondos robados por Ethereum (ETH), obteniendo inicialmente 608 ETH.
Olympix, un proveedor de seguridad Web3, reveló que el exploit se produjo debido a "datos de llamada dentro del contrato ConnectorDeleverageParaswap". Aparentemente, el contrato no examinó adecuadamente los datos de las solicitudes de préstamos urgentes.
Los datos de llamadas no validados permitieron al explotador manipular los datos del contrato y enviar los fondos a una cuenta de propiedad externa (EAO). Tras los informes iniciales, se produjo una segunda serie de ataques .
Estos ataques resultaron en la pérdida de 141.000 dólares adicionales en USDC, lo que eleva el total de robos de criptomonedas a 1,96 millones de dólares. No obstante, Cyvers confirmó que los grupos de protocolos de préstamos de Aave se mantuvieron sin cambios.
Los estafadores apuntan a proyectos DeFi
Después de los informes iniciales, el protocolo DeFi reconoció el ataque e instó a los usuarios a retirar los fondos restantes del protocolo. Posteriormente, Dough Finance anunció que había identificado y cerrado el exploit.
El proyecto confirmó que “algunas de las primeras cuentas inteligentes de Dough DeFi (DSA)” fueron víctimas de un exploit sofisticado. Además, la publicación aseguró que el equipo de Dough Finance está trabajando activamente para abordar el incidente, recuperar los fondos y salvar a los inversores.
Los informes en línea revelaron que el equipo se puso en contacto con el explotador. En un mensaje en cadena, el protocolo Defi informó al explotador que se había puesto en contacto con las autoridades pertinentes.
El equipo también se ofreció a discutir una recompensa si el atacante "explotaba esta vulnerabilidad como un sombrero blanco o gris" y adjuntó la dirección a la que se podrían transferir directamente los fondos.
El explotador tiene hasta el lunes 15 de julio de 2024 a las 23:00 horas UTC para ponerse en contacto con el protocolo DeFi. Según el mensaje, si el equipo no recibe una respuesta, "asumirá que se ha apropiado de los fondos con intención ilegal y seguirá todas las vías penales, legales y administrativas disponibles" para recuperar los fondos robados.
Los estafadores se han dirigido fuertemente al sector. Esta semana, varios proyectos DeFi, incluido Compound Finance, se vieron comprometidos por un ataque de phishing. Los proyectos parecen haber sido víctimas de un ataque de dominio DNS que redirigía a los usuarios a un sitio web falso.
El sitio web imitador era una herramienta de drenaje que podía agotar los fondos de los usuarios si interactuaban con él. Como resultado, los equipos del proyecto han aconsejado a los clientes que no interactúen con los sitios web hasta nuevo aviso.
