Dough Finance теряет $1.8 млн в атаке флеш-кредита

Децентрализованная финансовая платформа Dough Finance потеряла 1,8 миллиона долларов в цифровых активах после атаки с использованием флэш-кредита на протокол.

12 июля компания по кибербезопасности Web3 Cyvers сообщила о выявлении нескольких подозрительных транзакций. Компания связалась с протоколом кредитования Aave для проверки, были ли затронуты пулы. Однако Cyvers подтвердила, что пулы в Aave были в безопасности.

Несмотря на это, именно Dough Finance стала жертвой атаки. По словам Cyvers, атакующий был профинансирован через протокол ZK Railgun и обменял украденные USDC. Атакующий получил в общей сложности 608 ETH, стоимостью около 1,8 миллиона долларов.
Хакер манипулирует смарт-контрактом

Компания по кибербезопасности Web3 Olympix подчеркнула, что эксплуатация была вызвана непроверенными данными, полученными во время звонков с использованием флэш-кредитов в контракте "ConnectorDeleverageParaswap". Фирма объяснила:

"Контракт не проверял данные, которые он получал во время вызовов с использованием флэш-кредитов, что позволило злоумышленнику манипулировать ими в своих интересах."

В результате этого злоумышленник смог манипулировать данными и украсть средства.

Olympix предупредил пользователей, которые внесли средства в эксплуатируемый контракт DeFi-протокола, что они могут быть затронуты. Однако фирма отметила, что атака не повлияла на пулы в Aave.

Фирма также рекомендовала пользователям Dough Finance вывести свои средства на безопасный кошелек. Кроме того, они призвали пользователей следить за объявлениями от команды Dough Finance и избегать взаимодействия с протоколом до тех пор, пока ситуация не будет разрешена.