Dough Finance bị khai thác 1,96 triệu USD: Tiền của người dùng gặp rủi ro

Dough Finance bị khai thác 1,96 triệu USD: Tiền của người dùng gặp rủi ro

Là một nhà phân tích giàu kinh nghiệm, tôi thấy sự việc này rất đáng lo ngại. Từng chứng kiến ​​​​các cuộc tấn công tương tự trong quá khứ, tôi không thể không cảm thấy thất vọng và thất vọng đối với những người bị ảnh hưởng bởi vụ vi phạm Dough Finance. Việc khai thác dữ liệu cuộc gọi không được xác thực trong hợp đồng ConnectorDeleverageParaswap là một ví dụ điển hình về lỗ hổng có thể được ngăn chặn bằng các biện pháp bảo mật thích hợp.


Một tin đáng thất vọng đối với cộng đồng là Dough Finance đã phải chịu khoản lỗ đáng kể khoảng 1,8 triệu USD bằng USDC, sau đó đã tăng lên tổng thiệt hại hơn 1,96 triệu USD do các cuộc tấn công tiếp theo. Sự cố này đã khiến nhiều người dùng cảm thấy bất an về số tiền của mình và đặt câu hỏi về tính bảo mật của dịch vụ.

Chuyện gì đã xảy ra?

Với tư cách là nhà phân tích bảo mật, tôi đã xem xét các báo cáo cảnh báo của CertiK và xác định nguyên nhân cốt lõi của vấn đề. Có vẻ như lỗ hổng này xuất phát từ hợp đồng ConnectorDeleverageParaswap. Trong các cuộc gọi cho vay nhanh, hợp đồng này không xác thực được dữ liệu cuộc gọi, tạo cơ hội cho kẻ tấn công giả mạo dữ liệu để thu lợi. Lỗ hổng cơ bản trong hợp đồng là thiếu kiểm tra xác thực dữ liệu cuộc gọi, khiến nó dễ bị các tác nhân độc hại thao túng.

Với tư cách là một nhà nghiên cứu đang điều tra một cuộc tấn công mạng, tôi đã phát hiện ra rằng kẻ gian ác, được trang bị những khoản lợi bất chính từ vụ cướp Railgun, đã nhanh chóng chuyển đổi Đồng đô la Mỹ (USDC) bị đánh cắp thành Ethereum (ETH). Thủ đoạn xảo quyệt này đã làm phức tạp đáng kể quá trình truy tìm và thu hồi số tiền bị đánh cắp.

Sau cuộc tấn công ban đầu, kẻ xâm lược tiếp tục tấn công dữ dội vào Dough Finance, dẫn đến thiệt hại thêm 140.498 USD và đẩy tổng thiệt hại lên tới 1,96 triệu USD.

Ai bị ảnh hưởng nhiều nhất?

Với tư cách là một nhà đầu tư tiền điện tử, tôi có thể nói với bạn rằng những người có tiền được giữ trong hợp đồng khai thác của Dough Finance phải chịu thiệt hại nặng nề. Mặt khác, người dùng kết nối với Aave không bị ảnh hưởng vì cuộc tấn công không chạm tới bất kỳ nhóm nào của họ.

Người dùng nên làm gì? 

Người dùng nên rút bất kỳ khoản tiền nào họ có trong Dough Finance, đặc biệt là số tiền trong các hợp đồng bị ảnh hưởng và chuyển chúng vào ví cá nhân an toàn để đảm bảo an toàn.

 2. Theo dõi thông tin cập nhật từ nhóm Dough Finance để biết thêm hướng dẫn về các hành động và hơn thế nữa. 

Với tư cách là một nhà phân tích thận trọng, tôi khuyên bạn nên tránh tham gia vào giao thức Dough Finance hoặc bất kỳ hợp đồng liên quan nào cho đến khi chúng được các cơ quan hữu quan hoặc các chuyên gia bảo mật đáng tin cậy trong ngành coi là an toàn một cách rõ ràng.

Nhóm Dough Finance hiện đang điều tra nguyên nhân vi phạm và nỗ lực hạn chế mọi tác hại tiềm ẩn. Trong khi đó, các cá nhân nên cập nhật thông tin về những diễn biến mới nhất thông qua các kênh chính thức và thực hiện các bước để bảo vệ tài sản của mình.

Đọc thêm: Vi phạm trang web của Phòng thí nghiệm tổng hợp: Đã khôi phục bảo mật, Hợp đồng thông minh an toàn

2024-07-12 14:22