$2 млн за 2 минуты: Dough Finance стал жертвой взлома

De-Fi-протокол Dough Finance потерял криптовалюту на сумму почти $2 млн. после атаки на протокол с использованием мгновенных займов. Flash loan позволяет пользователю получить большие суммы в займы при условии, что они будут возвращены в рамках одной транзакции.

Сервис Peckshield первый обратил внимание на инцидент. Атака была профинансирована через протокол с нулевым разглашением ( zero-knowledge , ZK) Railgun, а отмывание средств происходило через Tornado Cash. Указанные сервисы часто используются хакерами для сокрытия следов. Dough Finance признала факт взлома через несколько часов после инцидента.

По данным Cyvers, злоумышленник обменял украденный токен USDC ($1) на Эфириум (ETH = $3109). В результате хакер получил 608 ETH на сумму около $1,9 млн. Примечательно, что вредоносный контракт был создан менее чем за 2 минуты до взлома транзакции.

ИБ-компания Olympix подчеркнула, что эксплойт был вызван непроверенными данными вызовов ( callback ) в контракте «ConnectorDeleverageParaswap». Контракт не проверял должным образом данные, полученные во время вызовов по мгновенным займам, что позволило злоумышленнику манипулировать данными и похитить средства.

По словам Olympix, те пользователи, кто внес средства в эксплуатируемый контракт, могут пострадать. Однако взлом не затронул пулы Aave. Olympix также посоветовала пользователям Dough Finance рассмотреть возможность вывода средств на защищенный кошелек. Кроме того, пользователям настоятельно рекомендуется следить за объявлениями от команды Dough Finance и избегать взаимодействия с протоколом, пока ситуация не будет решена.

Dough Finance сообщила, что активно работает над восстановлением потерянных средств и созданием фонда помощи пострадавшим пользователям.