攻击者利用了未验证的 calldata,导致 608 ETH 被盗。
Dough Finance被盗180万美元新闻
去中心化金融(DeFi)协议 Dough Finance 在受到闪贷攻击后损失了 180 万美元的数字资产。
7 月 12 日,Web3 安全公司 Cyvers 指出,他们检测到多笔可疑交易。该公司与借贷协议 Aave 进行了沟通,以检查资金池是否受到影响。然而,安全公司确认 Aave 内的资金池是安全的。
尽管如此,Dough Finance 还是首当其冲地受到了攻击。据 Cyvers 称,攻击者通过零知识(ZK)协议 Railgun 获得资金,并将窃取的美元币
USDC
tickers down
¥7.09
换成了以太币
ETH
tickers down
¥16,957.62
。攻击者总共获得了 608 个 ETH,价值约 180 万美元。
黑客操纵智能合约
Web3安全供应商Olympix强调,该漏洞是由 "ConnectorDeleverageParaswap "合约中未验证的calldata造成的。该公司解释说:
"该合约没有正确检查它在闪贷调用过程中接收到的数据,允许攻击者为了自己的利益而操纵这些数据"。
正因为如此,攻击者得以操纵数据并窃取资金。
Olympix表示,那些在DeFi协议被利用的合约中存入资金的人可能会受到影响。不过,该安全服务提供商指出,此次黑客攻击并未对 Aave 资金池造成影响。
该安全供应商还建议 Dough Finance 用户考虑将资金提取到安全的钱包中。此外,他们还敦促用户关注 Dough Finance 团队发布的公告,并避免与该协议进行交互,直到问题得到解决。
2024 年因安全事件损失超过 10 亿美元
虽然 Dough Finance 黑客攻击损失只有近 200 万美元,但由于加密货币领域内的各种事件,其他加密货币领域的数字资产损失已经超过 10 亿美元。
7月3日,区块链安全公司CertiK发布安全报告,强调2024年上半年链上事件的损失已经达到11.9亿美元。大部分损失归因于网络钓鱼攻击和私钥泄露。
根据CertiK的数据,该领域因网络钓鱼攻击损失了近5亿美元,而私钥泄露则造成了近4.09亿美元的损失。
CertiK 联合创始人顾荣辉强调,迫切需要实施多因素身份验证方法,如双因素身份验证(2FA)和安全密钥。
