A plataforma de finanças descentralizadas (DeFi) Dough Finance sofreu um ataque significativo que resultou na perda de US$ 1,8 milhão. A empresa de segurança Web3 Cyvers sinalizou que havia detectado várias transações suspeitas.
🚨ALERT🚨Our system has detected multiple suspicious transactions involving @DoughFina. After communicating with the #AAVE team, we can confirm that #AAVE pools are NOT affected.
The attacker was funded through #Railgun and has swapped all stolen $USDC into $ETH, resulting in a… pic.twitter.com/WchJeU5S0e
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) July 12, 2024
O incidente destacou novamente as vulnerabilidades persistentes no espaço DeFi, onde ataques de empréstimo relâmpago continuam a ser uma ameaça constante para a segurança das plataformas e dos ativos dos usuários.
Detalhes do ataque e perdas
O ataque, que ocorreu no início desta semana, explorou uma vulnerabilidade na Dough Finance através de um empréstimo relâmpago (flash loan). Esse tipo de ataque envolve a obtenção de um empréstimo sem garantia, desde que o empréstimo seja reembolsado dentro da mesma transação.
De acordo com Cyvers, o invasor foi financiado por meio do protocolo de conhecimento zero (ZK) Railgun e trocou a moeda USD roubada para ETH. Com isso, o invasor obteve um total de 608 ETH, no valor de cerca de US$ 1,8 milhão.
Urgent Announcement:
Dough Finance has been exploited. If you still have funds in the protocol, please withdraw them immediately.
We are actively investigating the situation and working on recovering the funds.
— Dough Finance (@DoughFina) July 12, 2024
A Dough Finance confirmou a perda de aproximadamente US$ 1,8 milhão em ativos. A equipe da plataforma está atualmente investigando a fundo o incidente e trabalhando em conjunto com especialistas em segurança para identificar as falhas que permitiram o ataque.
Além disso, a Dough Finance está em contato com outras plataformas DeFi e exchanges para rastrear e recuperar os fundos roubados.
Impacto e resposta da comunidade DeFi
Este incidente é mais um lembrete das vulnerabilidades presentes nas plataformas DeFi. Embora ofereçam inúmeras vantagens, como maior acessibilidade e eliminação de intermediários, essas plataformas também são alvos frequentes de ataques devido à complexidade e à natureza inovadora de seus contratos inteligentes.
O provedor de segurança Web3 Olympix destacou que a exploração foi devido a calldata não validados dentro do contrato ‘ConnectorDeleverageParaswap’.
Attention @DoughFina Users: Exploit Alert!
Dough finance has been exploited for roughly ~$1.8 million in USDC! Here's a breakdown of the situation based on available information:
❓What Happened?
The exploit stemmed from unvalidated calldata within the… pic.twitter.com/NBcCwsMl10
— Olympix (@Olympix_ai) July 12, 2024
A Dough Finance, por sua vez, reafirmou seu compromisso com a segurança e a proteção dos ativos dos usuários, prometendo implementar melhorias adicionais para prevenir futuros ataques. A educação dos usuários sobre os riscos e as melhores práticas para se proteger também é crucial para minimizar o impacto de tais incidentes.
