De-Fi-протокол Dough Finance потерял криптовалюту на сумму почти $2 млн. после атаки на протокол с использованием мгновенных займов. Flash loan позволяет пользователю получить большие суммы в займы при условии, что они будут возвращены в рамках одной транзакции.
Сервис Peckshield первый обратил вниманиена инцидент. Атака была профинансирована через протокол с нулевым разглашением (zero-knowledge, ZK) Railgun, а отмывание средств происходило через Tornado Cash. Указанные сервисы часто используются хакерами для сокрытия следов. Dough Finance признала факт взлома через несколько часов после инцидента.
По данным Cyvers, злоумышленник обменял украденный токен USDC ($1) на Эфириум (ETH = $3109). В результате хакер получил 608 ETH на сумму около $1,9 млн. Примечательно, что вредоносный контракт был создан менее чем за 2 минуты до взлома транзакции.
ИБ-компания Olympix подчеркнула, что эксплойт был вызваннепроверенными данными вызовов (callback) в контракте “ConnectorDeleverageParaswap”. Контракт не проверял должным образом данные, полученные во время вызовов по мгновенным займам, что позволило злоумышленнику манипулировать данными и похититьсредства.
По словам Olympix, те пользователи, кто внес средства в эксплуатируемый контракт, могут пострадать. Однако взлом не затронул пулы Aave. Olympix также посоветовала пользователям Dough Finance рассмотреть возможность вывода средств на защищенный кошелек. Кроме того, пользователям настоятельно рекомендуется следить за объявлениями от команды Dough Finance и избегать взаимодействия с протоколом, пока ситуация не будет решена.
Dough Finance сообщила, что активно работаетнад восстановлением потерянных средств и созданием фонда помощи пострадавшим пользователям.