Криптовалютний проект втратив $ 2 млн лише за 2 хвилини внаслідок експлойту

De-Fi-протокол Dough Finance зазнав атаки з використанням миттєвих позик. Це призвело до втрати криптовалюти на суму майже $ 2 млн лише за 2 хвилини. Миттєва позика дозволяє користувачеві отримати велику суму в борг за умови, що вона буде повернена в рамках однієї транзакції.

Першими на інцидент звернули увагу експерти з Peckshield. Атака була профінансована через протокол з нульовим розголошенням Railgun, а відмивання коштів відбувалося через Tornado Cash. Ці сервіси часто використовуються хакерами для приховування слідів. Dough Finance підтвердила факт зламу через кілька годин після інциденту.

За даними Cyvers, зловмисник обміняв вкрадений токен USDC на Ethereum, отримавши 608 ETH на суму близько $ 1,9 млн. Важливо зазначити, що шкідливий контракт був створений менш ніж за 2 хвилини до зламу транзакції.

Компанія Olympix підкреслила, що експлойт був викликаний неперевіреними даними викликів у контракті «ConnectorDeleverageParaswap». Контракт не перевіряв належним чином дані, отримані під час викликів по миттєвих позиках — це й дозволило зловмиснику маніпулювати даними та викрасти кошти.

Користувачі, які внесли кошти в експлуатований контракт, можуть постраждати. Злом не торкнувся пулів Aave. Olympix порадила користувачам Dough Finance розглянути можливість виведення коштів на захищений гаманець та уникати взаємодії з протоколом до вирішення ситуації.

Dough Finance повідомила, що активно працює над відновленням втрачених коштів і створенням фонду допомоги постраждалим користувачам.

Редакція No Worries наполегливо радить читачам ознайомлюватися з криптовалютними проектами перед здійсненням фінансових інвестицій!